O seu Pixel tem uma vulnerabilidade de segurança perigosa no seu firmware
Menos de 48 horas após o anúncio do Google do linha Pixel 9 ao mundo, surgiram notícias que podem colocar um ponto final nas comemorações da empresa: desde 2017, os Pixels estão sendo enviados com uma vulnerabilidade de segurança importante embutida em seu firmware, e não pode ser removida ou corrigida pelo usuário.
A notícia vem da iVerify, uma empresa que se descreve como "caça-trechos móvel", e da Palantir Technologies, uma empresa de software para análise de dados. A iVerify anunciou o descobrimento da vulnerabilidade em um postagem no blog na quinta-feira, alertando que essa falha de segurança coloca o Android em telefones Pixel em risco de ataques homem-no-meio, bem como a instalação de malware e spyware.
Como essa vulnerabilidade funciona
A vulnerabilidade vem do pacote do aplicativo Showcase.apk no Android, que vem instalado em "uma grande porcentagem" de telefones Pixel. (A iVerify não diz um número exato, mas afirma que "milhões" de dispositivos Pixel estão afetados.) O Showcase.apk supostamente executa em um "contexto altamente privilegiado", o que significa que ele tem permissões que permitem afetar o sistema operacional do seu telefone. Isso inclui a capacidade de execução de código remoto e instalação de pacotes remotos, o que permite a atores remotos executar seu próprio código ou instalar seus próprios programas no dispositivo.
Enquanto isso é o que permite a atores mal-intencionados potencialmente tomar conta do seu telefone, eles precisam de uma entrada primeiro. Isso vem de como o Showcase.apk se comunica com seu host: o pacote é projetado para baixar arquivos por uma conexão HTTP insegura, o que um ator mal-intencionado poderia explorar para ganhar acesso ao seu Pixel. Teoricamente, tudo isso poderia permitir que atores mal-intencionados injetem malware e spyware no seu Pixel e manipulem o sistema operacional como bem entenderem.
Antes que a comunidade Pixel entre em pânico, não há relatórios de que a vulnerabilidade está sendo ativamente explorada no momento. A iVerify diz que o Showcase.apk não está habilitado por padrão e requer intervenção manual para ser ativado. A iVerify conseguiu ativar o pacote do aplicativo, mas não vai revelar como fizeram isso. Embora pareça provável que você precise ter acesso físico ao telefone para fazer isso, usuários mal-intencionados poderiam, em teoria, ativar o Showcase.apk remotamente.
De onde veio isso?
Por que um pacote de aplicativo como esse está em tantos telefones Pixel em primeiro lugar? A iVerify diz que o Showcase.apk foi desenvolvido pela Smith Micro, que faz pacotes de aplicativos para controle parental, ferramentas de acesso remoto e programas para exclusão de dados. A iVerify afirma que a Smith Micro desenvolveu o Showcase.apk como um programa para a Verizon transformar telefones em unidades de demonstração quando exibidas em lojas. Se você já usou um smartphone em uma loja como a Verizon, sabe que o Android que está executando naquele telefone é diferente do Android em um dispositivo pessoal: programas como o Showcase.apk ajudam a realizar isso.
Isso tudo está bem e bom para unidades de loja, mas é unclear por que o pacote .apk acabou em tantos dispositivos Pixel pessoais. Não há necessidade do seu Pixel ter uma ferramenta para ativar "modo de demonstração", nem há razão para que o programa deva ter tais privilégios do sistema elevados em primeiro lugar. Essa combinação coloca milhões de usuários em risco desnecessário.
Na verdade, a Palantir diz que está se aposentando do uso de dispositivos Pixel devido a esse incidente e passará aos dispositivos Apple nos próximos anos. No entanto, a iVerify disse à Wired que é possível que outros dispositivos Android estejam afetados, e entrou em contato com outros fabricantes de Android para alertá-los sobre o problema.
Leia também:
- A Telefónica pretende lançar no mercado a telefonia por holograma
- vzbv: As empresas de Internet continuam a fazer batota apesar da proibição
- A Telefónica prevê o lançamento no mercado da telefonia por holograma em 2026
- Quase nenhuma melhoria no equilíbrio ecológico dos sistemas informáticos do governo federal