Um relatório recente da empresa de segurança cibernética iVerify revelou uma vulnerabilidade significativa nos telefones Google Pixel vendidos desde setembro de 2017.
De acordo com a investigação, esses dispositivos continham um software oculto que poderia permitir o monitoramento e controle remoto dos telefones dos usuários, expondo-os a possíveis ataques cibernéticos.
A vulnerabilidade foi descoberta quando o scanner de detecção e resposta de endpoint (EDR) do iVerify identificou um dispositivo Android inseguro na Palantir Technologies, uma empresa cliente da iVerify conhecida por seus produtos de vigilância vendidos para governos e empresas privadas.
Essa descoberta levou a uma investigação conjunta entre iVerify, Palantir e a Trail of Bits, que revelou a presença de um pacote de software chamado Showcase.apk nos dispositivos Google Pixel.
O relatório indica que o software foi desenvolvido pela empresa Smith Micro Software e parece ter sido criado especificamente para demonstrações em lojas da Verizon.
Embora o aplicativo estivesse inativo por padrão, ele poderia ser ativado manualmente, tornando o sistema operacional vulnerável a ataques como man-in-the-middle, injeção de código e instalação de spyware.
Segundo o iVerify, essa vulnerabilidade poderia resultar em graves violações de dados, potencialmente causando prejuízos de bilhões de dólares.
Software oculto em dispositivos Google Pixel ameaça segurança de usuários
Diante da descoberta, a Palantir tomou a decisão de banir o uso de dispositivos Android em toda a empresa.
Dane Stuckey, diretor de segurança de informações da Palantir, considerou a situação perigosa e ressaltou a preocupação com a presença de um software não autorizado em dispositivos que deveriam ser seguros.
Isso era muito prejudicial à confiança, ter software inseguro de terceiros, não verificado.”
Em resposta ao relatório, o porta-voz do Google, Ed Fernandez, declarou ao The Verge que o software Showcase.apk foi feito para dispositivos de demonstração em lojas da Verizon e que “não está mais sendo usado”. Ele também afirmou que o Google “não viu nenhuma evidência de qualquer exploração ativa” da vulnerabilidade.
A iVerify notificou o Google sobre a descoberta no início de maio, mas até o momento da publicação do relatório, o Google ainda não havia lançado uma atualização de software para corrigir o problema.
Segundo a Wired, o Android deve remover o aplicativo dos dispositivos Pixel “nas próximas semanas”.
Essa revelação levanta preocupações sobre a segurança dos dispositivos Pixel, que são amplamente reconhecidos por suas robustas medidas de defesa.
É realmente muito preocupante. Pixels são feitos para serem limpos”, definiu Stuckey.
