I Google Pixel, la linea di smartphone prodotta dal gigante di Mountain View, fanno della sicurezza una delle caratteristiche principali, offrendo aggiornamenti software garantiti per sette anni ed un sistema operativo Android senza componenti aggiuntivi di terze parti e bloatware. Ciononostante, giovedì i ricercatori della società di sicurezza per dispositivi mobili iVerify hanno reso nota l’esistenza di una vulnerabilità che sembra essere presente in ogni versione di Android per Pixel da settembre 2017, e che potrebbe esporre i dispositivi a manipolazioni e altri rischi.
La falla nei Pixel
Il problema riguarda un pacchetto software chiamato Showcase.apk, che viene eseguito a livello di sistema ed è invisibile agli utenti. L’applicazione è stata sviluppata dalla società di software aziendali Smith Micro per l’operatore statunitense Verizon, come meccanismo per mettere i telefoni in modalità demo nei negozi. Nonostante non sia stato realizzato da Google, il software è presente da anni in ogni versione di Android per Pixel e gode di privilegi di sistema elevati, come la possibilità di inviare comandi e di installare software da remoto. Ad aumentare ulteriormente i rischi, l’applicazione è progettata per scaricare un file di configurazione attraverso una connessione web http non criptata, che secondo i ricercatori di iVerify potrebbe essere sabotata da un aggressore allo scopo di prendere il controllo dell’applicazione e quindi dell’intero dispositivo di una vittima.
iVerify ha comunicato le sue scoperte a Google all’inizio di maggio, ma il colosso non ha ancora distribuito una correzione. Il portavoce dell’azienda Ed Fernandez ha dichiarato a Wired US che Showcase “non viene più utilizzato” da Verizon e che Android rimuoverà il pacchetto da tutti i dispositivi Pixel con un aggiornamento software “nelle prossime settimane“, aggiungendo che Google non ha riscontrato prove che rivelino uno sfruttamento attivo della falla e che l’app non è presente nei nuovi dispositivi della serie Pixel 9 annunciati questa settimana. In risposta alla domanda di Wired US sulla vulnerabilità di Showcase, il portavoce di Verizon George Koroneos ha spiega che “l’Apk in questione è stato utilizzato per dimostrazioni e non è più in uso“. Smith Micro non ha risposto alle richieste di commento.
“Ho visto molte vulnerabilità di Android, ma sotto certi aspetti questa è unica e piuttosto preoccupante – afferma Rocky Cole, direttore operativo di iVerify ed ex analista della National security agency degli Stati Uniti –. Quando viene eseguito, Showcase.apk ha la capacità di prendere il controllo del telefono. Ma il codice è francamente scadente. Viene da chiedersi come mai un software di terze parti che viene eseguito con privilegi così elevati e così in profondità nel sistema operativo non sia stato testato più a fondo. L’impressione è che Google abbia inserito un bloatware sui dispositivi Pixel di tutto il mondo“.
La risposta di Google
I ricercatori di iVerify hanno scoperto l’applicazione dopo che il sistema di rilevamento delle minacce dell’azienda ha segnalato un’insolita convalida di app di Google Play Store sul dispositivo di un utente. Il cliente, la società di analisi di big data Palantir, ha collaborato con iVerify per indagare su Showcase.apk e divulgare i risultati a Google. Il responsabile della sicurezza informatica di Palantir, Dane Stuckey, sostiene che la scoperta e la risposta lenta e poco trasparente da parte di Google ha spinto la società a eliminare gradualmente non solo i telefoni Pixel, ma tutti i dispositivi Android dell’azienda.
Fonte : Wired
