La empresa de ciberseguridad iVerify ha publicado un nuevo informe sobre una vulnerabilidad en los smartphones Google Pixel. Se señala que la mayoría de estos teléfonos vendidos desde septiembre de 2017 incluían un software que puede utilizarse para vigilar o controlar a distancia los dispositivos de los usuarios.
La vulnerabilidad se descubrió después de que un escáner EDR de iVerify señalara un dispositivo Android no seguro en Palantir Technologies, un cliente de iVerify. Tras iniciar una investigación conjunta, iVerify, Palantir y Trail of Bits descubrieron un paquete de software Android oculto — Showcase.apk — en los dispositivos Google Pixel. Desde entonces, la empresa de análisis de datos Palantir ha prohibido los dispositivos Android en toda la empresa.
Según el informe de iVerify, el software fue desarrollado por Smith Micro Software y parece haber sido creado para Verizon para demostraciones en tiendas. La aplicación estaba inactiva por defecto y había que activarla manualmente.
«Cuando está activo, Showcase.apk hace que el sistema operativo sea accesible a los hackers y esté listo para ataques man-in-the-middle, inyección de código y spyware,» dice el informe. «El impacto de esta vulnerabilidad es significativo y podría provocar pérdidas de datos por valor de miles de millones de dólares».
El portavoz de Google Ed Fernández dijo que el software fue creado «para los dispositivos de demostración de Verizon en las tiendas y ya no está en uso». Añadió que Google «no ve ninguna evidencia de explotación activa de esta vulnerabilidad por».
iVerify notificó a Google su descubrimiento a principios de mayo. La empresa no ha revelado públicamente la vulnerabilidad ni ha lanzado una actualización de software para solucionar el problema. «Google planea eliminar la aplicación de todos los dispositivos Pixel en las próximas semanas.
Fuente: The Verge
Spelling error report
The following text will be sent to our editors: