O Google afirma que seus smartphones Pixel são caracterizados por maior segurança, pois são instalados com um sistema operacional Android puro, supostamente sem complementos e software de terceiros. Mas, como descobriram os especialistas em segurança cibernética da iVerify, todos os telefones da série desde setembro de 2017 foram instalados com um aplicativo oculto de terceiros que os torna vulneráveis a hackers.
Estamos falando de um pacote chamado Showcase.apk, que funciona no nível do sistema e permanece invisível para o usuário. Ele foi criado para a operadora americana Verizon pelo desenvolvedor de software empresarial Smith Micro – o aplicativo é usado para colocar telefones em modo de demonstração em lojas de varejo, e o Google não tem nada a ver com isso. Mas ele foi incluído em todas as versões do Pixel Android há quase sete anos e possui profundos privilégios de sistema, incluindo execução remota de código e instalação remota de outros softwares. Além disso, o aplicativo permite fazer upload de um arquivo de configuração por meio de uma conexão HTTP não segura, que pode ser interceptado por um invasor em potencial para obter o controle do aplicativo e, em seguida, de todo o dispositivo da vítima.
O iVerify relatou sua descoberta ao Google no início de maio, mas a gigante da tecnologia ainda não resolveu o problema. O aplicativo “não é mais usado” pela Verizon e será removido de todos os dispositivos Pixel suportados “nas próximas semanas” com a próxima atualização do Android, disse o porta-voz do Google, Ed Fernandez, à Wired. O Showcase já foi usado anteriormente para demonstrações em lojas de varejo, mas não é mais usado, confirmou a Verizon. Smith Micro não fez comentários.
Embora Showcase.apk seja uma vulnerabilidade perigosa para telefones, o aplicativo está desabilitado por padrão. Isso significa que para usá-lo para fins maliciosos, um potencial cibercriminoso precisaria de acesso físico ao telefone da vítima para executar o aplicativo. Também existe a possibilidade de Showcase.apk ser instalado não apenas em telefones Pixel, mas também em dispositivos de outros fabricantes, disse iVerify. E isso foi indiretamente confirmado por Ed Fernandez, do Google – ele disse que “também estamos notificando outros OEMs do Android”.