El software de los Google Pixel es uno de sus puntos fuertes, a pesar de que no está exentos de fallos: problemas con la red móvil, móviles que no se encienden tras un restablecimiento, bug al acceder a la memoria interna... son solo algunos ejemplos de las incidencias que han experimentado los usuarios poseedores de estos teléfonos. Por suerte, el gigante americano ha ido solucionando todos y cada uno, al igual que en materia de seguridad despliega sus parches de seguridad. Mismamente, el pasado mes de junio arregló siete vulnerabilidades críticas en una actualización trimestral.
Sin embargo, ahora se enfrentan a un problema de bastante gravedad: iVerify ha notificado de la existencia de un archivo APK que viene preinstalado en el software Android de los teléfonos de Google y abre la puerta a que usuarios con malas intenciones puedan ejecutar código e incluso instalar paquetes a placer. Esto es lo que debes saber sobre esta grave vulnerabilidad que afecta a los Google Pixel.
Un APK de fábrica con mucho peligro
Como leemos en el blog de iVerify, a principios de año, se marcó un dispositivo Android como inseguro debido a un paquete de aplicaciones: Showcase.apk. Es habitual que ciertas empresas dedicadas a la seguridad de nuestro dispositivo encuentren agujeros, pero este provenía de un APK que está preinstalado en el firmware.
A través de él, es posible inyectar código y spyware maliciosos, dejando a Android ante una gran vulnerabilidad. La empresa notificó a la propia Google con un exhaustivo informe de vulnerabilidades. El origen de este APK es Smith Micro, una empresa de software con operaciones en América, Europa, Oriente Medio y África: en iVerify cuentan que probablemente, este paquete se creó para mejorar las ventas de los móviles de Google en las tiendas de Verizon, un operador de EEUU.
El principal problema es que forma parte de la imagen de firmware de los Google Pixel, es decir, viene preinstalada. Ésta, se diseñó para recuperar archivos de configuración a través de HTTP no seguro. Así, permite que ejecute comandos o módulos del sistema que podrían abrir una puerta trasera y comprometer el dispositivo.
Debido a que de por sí no es peligrosa, no ha sido nunca detectada por herramientas de seguridad como antivirus. Tampoco es posible desinstalarla fácilmente al venir instalada en la partición de sistema, y es que en teoría solo debería servir para convertir al teléfono en un dispositivo de demostración: al estilo de lo que vemos en algunas tiendas físicas.
Desde Android Police apuntan más detalles: la aplicación está deshabilitada de fábrica, algo que dificultaría una posible acción perjudicial para los usuarios. Es por ello que Google no tenga esta incidencia marcada como prioridad, y es que se desconoce si podría habilitarse de forma remota.
"Solo encontramos una forma física de activar esto, pero podría haber diferentes formas en que un atacante remoto potencial o alguien que ya está en el teléfono con malware podría activar esto y usarlo para la escalada de privilegios", dijo Matthias Frielingsdorf, vicepresidente de investigación de iVerify en un comunicado dado a Wired.
Eso sí, queda la duda de qué sentido tiene que Google distribuya esta aplicación en sus Pixel si únicamente se destina a demostración en las tiendas de Verizon. Por suerte, un portavoz de la propia empresa americana ha confirmado a Wired que la app ya no está en uso y se eliminará de los Pixel a través de una actualización de software "en las próximas semanas". Permaneceremos atentos en nuestros Google Pixel a dicha actualización e informaremos cuando llegue.
Vía | iVerify
Imagen de portada | Iván Linares para Xataka (con edición)
En Xataka Android | Qué es el malware, qué tipos hay y qué puedes hacer si infecta tu móvil
Ver 0 comentarios