A empresa de segurança para celulares iVerify descobriu uma vulnerabilidade nos smartphones Google Pixel. De acordo com a iVerify um pedaço de software de terceiros com acesso profundo ao sistema é o culpado e, preocupantemente, ele foi enviado com “uma porcentagem muito grande de dispositivos Pixel […] desde setembro de 2017.”
O problema está relacionado ao “Showcase.apk”, um software feito para a Verizon e usado para colocar dispositivos Pixel em modo de demonstração enquanto exibidos em lojas de varejo. O software baixa um arquivo de configuração por uma conexão da web não criptografada, que — devido ao acesso profundo do Showcase — pode permitir que atores mal-intencionados realizem execução remota de código ou instalação remota de pacote no dispositivo.
A parte especialmente preocupante dessa descoberta é que o Showcase não pode ser desinstalado no nível do usuário. E embora não esteja habilitado por padrão, o iVerify disse que pode haver várias maneiras de ativar o software. O iVerify alertou o Google sobre a vulnerabilidade em maio; até agora, não há evidências confirmadas de que ela tenha sido explorada na natureza.
Um porta-voz do Google disse que o Showcase “não está mais sendo usado” pela Verizon e que o Google teria uma atualização de software para remover o software de todos os dispositivos Pixel “nas próximas semanas”. Além disso, o representante disse que o Showcase não está presente na linha de dispositivos anunciados durante o evento Made by Google esta semana.
