Uma empresa de segurança cibernética descobriu que o software principal do Google para alguns celulares Android inclui um aplicativo oculto e inseguro. Esse recurso pode ser ativado para permitir controle remoto ou espionagem dos usuários. A descoberta foi feita em dispositivos usados por um contratante de inteligência nos Estados Unidos.

Segundo os pesquisadores da iVerify, o recurso parece ter sido criado para dar aos funcionários de lojas que vendem celulares Google Pixel e outros modelos acesso profundo aos dispositivos. Esse acesso permitiria demonstrações de funcionamento para os clientes. A iVerify compartilhou suas descobertas com o jornal The Washington Post.

A descoberta e a falta de explicações do Google sobre o assunto alarmaram a Palantir Technologies, uma plataforma de análise de dados que atua como contratante de inteligência. Como resultado, a empresa decidiu suspender a emissão de celulares Android para seus funcionários. Dane Stuckey, diretor de segurança da informação da Palantir, expressou preocupação com a presença de software inseguro e não verificado em seus dispositivos.

A empresa de segurança iVerify afirmou que entrou em contato com o Google sobre suas descobertas há mais de 90 dias, mas a gigante da tecnologia não informou se removeria ou corrigiria o aplicativo. Na quarta-feira à noite, o Google anunciou ao The Washington Post que emitiria uma atualização para remover o aplicativo chamado Showcase.apk de todos os dispositivos Pixel suportados.

Vulnerabilidade do Android ao aplicativo Showcase.apk

• O aplicativo Showcase.apk geralmente permanece inativo, mas a iVerify conseguiu ativá-lo em um dispositivo e acredita que hackers habilidosos também poderiam fazer isso remotamente.
• O aplicativo não pode ser removido dos celulares através do processo normal de desinstalação.
• Quando ativo, o aplicativo baixa instruções de um site hospedado na Amazon Web Services, mas utiliza uma conexão insegura “http”, o que possibilita a interceptação dessas comunicações e a substituição por instruções maliciosas.
• A iVerify destacou que essa vulnerabilidade deixa milhões de dispositivos Android Pixel suscetíveis a ataques que permitiriam a injeção de código malicioso.
• Os pesquisadores compararam a instalação automática do Showcase.apk com a falha global recente em computadores Windows que executam o software de segurança CrowdStrike.
• Como outros programas de segurança, o CrowdStrike está profundamente embutido no sistema, e um erro pode causar danos significativos.

Resposta do Google

Ed Fernandez, porta-voz do Google, afirmou ao The Washington Post que a empresa não havia detectado ataques utilizando o Showcase.apk e que a exploração desse aplicativo seria improvável, pois exigiria tanto o acesso físico ao dispositivo quanto a senha do usuário. Fernandez também mencionou que o software foi originalmente criado para dispositivos de demonstração em lojas da Verizon e que não está mais em uso.

Incertezas e medidas finais

A Palantir destacou que o que mais incomodou foi o fato de o Showcase estar presente nos celulares Pixel fabricados pelo próprio Google. Esses dispositivos são conhecidos por receber atualizações de segurança imediatamente, ao contrário de modelos Android fabricados por outras empresas, como a Samsung, que podem demorar.

A iVerify mencionou que o aplicativo parece ter sido desenvolvido por uma empresa da Pensilvânia chamada Smith Micro Software, que escreve pacotes de software para ferramentas de acesso remoto e controle parental. Até o momento, a Smith Micro não respondeu aos contatos.

Olhar Digital