Desde septiembre de 2017, un gran porcentaje de dispositivos Google Pixel enviados globalmente incluyen una aplicación vulnerable que podría facilitar ataques maliciosos y la instalación de malware.
Problema Detectado en la Aplicación Preinstalada «Showcase.apk»
La vulnerabilidad se encuentra en una aplicación de Android preinstalada, «Showcase.apk», que tiene privilegios de sistema excesivos, permitiendo la ejecución remota de código y la instalación de paquetes arbitrarios en los dispositivos afectados. Según la firma de seguridad móvil iVerify, esta aplicación descarga un archivo de configuración a través de una conexión no segura, lo que podría ser manipulado para comprometer el sistema.
Riesgos de Seguridad y Privilegios Excesivos
El análisis realizado por iVerify, en colaboración con Palantir Technologies y Trail of Bits, reveló que la aplicación se conecta a un dominio alojado en AWS a través de HTTP, una conexión no segura que deja el archivo de configuración vulnerable a ataques en tránsito. Además, la aplicación «Verizon Retail Demo Mode» («com.customermobile.preload.vzw») solicita casi tres docenas de permisos, incluyendo acceso a la ubicación y almacenamiento externo.
Exposición a Ataques «Man-in-the-Middle» (AitM)
El uso de HTTP en lugar de HTTPS para la descarga del archivo de configuración permite la manipulación por parte de atacantes durante la transmisión, lo que podría llevar a la inyección de código malicioso en los dispositivos Pixel. Aunque no se ha reportado explotación activa de esta vulnerabilidad, el riesgo es significativo debido a los permisos elevados con los que opera la aplicación.
Desarrollado por Smith Micro, No por Google
Es importante destacar que esta aplicación no fue desarrollada por Google, sino por Smith Micro, una empresa de software empresarial. La aplicación fue diseñada para el modo de demostración en dispositivos de Verizon, lo que explica su inclusión en el firmware de Android en ciertos modelos Pixel.
Medidas de Mitigación y Respuesta de Google
A pesar de que la aplicación no está habilitada por defecto y requiere acceso físico al dispositivo para ser activada, la presencia de este software vulnerable en millones de dispositivos es preocupante. Google ha respondido afirmando que no se trata de una vulnerabilidad inherente a Android o a los dispositivos Pixel, sino a una aplicación específica para demostraciones en tiendas de Verizon. Sin embargo, Google planea eliminar la aplicación de todos los dispositivos Pixel compatibles en una próxima actualización de software. Además, la aplicación no está presente en la serie Pixel 9, y se ha notificado a otros fabricantes de equipos Android sobre este problema.
Importancia de la Seguridad en Dispositivos Móviles
La vulnerabilidad descubierta en los dispositivos Google Pixel resalta la necesidad de una mayor vigilancia en la seguridad de los dispositivos móviles, especialmente en aquellos que son enviados con software preinstalado. Las aplicaciones con privilegios elevados, como «Showcase.apk», pueden representar riesgos significativos si no se configuran correctamente o si se conectan a servidores mediante canales inseguros.
Consejos para Proteger Tu Dispositivo
Para minimizar el riesgo de vulnerabilidades similares, se recomienda a los usuarios de dispositivos Android, incluidos los Pixel, seguir estas prácticas de seguridad:
- Mantén tu dispositivo actualizado: Asegúrate de instalar las actualizaciones de software tan pronto como estén disponibles, ya que estas suelen incluir parches de seguridad importantes.
- Revisa las aplicaciones preinstaladas: Si bien algunas aplicaciones no pueden ser desinstaladas, es útil revisar los permisos que solicitan y deshabilitar cualquier aplicación que no sea esencial.
- Habilita la autenticación en dos pasos: Para proteger tu cuenta de Google y otras cuentas importantes en tu dispositivo, activa la autenticación en dos pasos.
- Evita conexiones no seguras: Siempre que sea posible, utiliza conexiones HTTPS en lugar de HTTP para garantizar que la información transmitida esté cifrada y sea segura.
- Desactiva el modo desarrollador: Si no necesitas funciones avanzadas, mantén desactivado el modo desarrollador para reducir la superficie de ataque en tu dispositivo.
En fin, la situación con los dispositivos Google Pixel subraya la importancia de la seguridad en el ecosistema móvil. Aunque la vulnerabilidad en la aplicación «Showcase.apk» no ha sido explotada de manera activa, la existencia de este tipo de software preinstalado destaca la necesidad de que los fabricantes y desarrolladores mantengan altos estándares de seguridad en todo el ciclo de vida del producto.
La rápida respuesta de Google para eliminar esta aplicación de los dispositivos Pixel afectados muestra un compromiso con la seguridad del usuario, pero también señala la responsabilidad continua de los usuarios para proteger sus dispositivos a través de buenas prácticas de seguridad.
Fuente: The Hacker News