I ricercatori di iVerify hanno scoperto una grave vulnerabilità nei Google Pixel venduti a partire da settembre 2017. Per un ignoto motivo è stata preinstallata l’app Showcase su tutti gli smartphone, non solo su quelli usati da Verizon come demo negli store. L’app potrebbe essere sfruttata per spiare gli utenti, trasformando i Pixel in tool di sorveglianza remota.

Google rimuoverà l’app con un aggiornamento

La vulnerabilità è stata scoperta dal software EDR (Endpoint Detection and Response) di iVerify durante la scansione di un dispositivo Android di un cliente (Palantir Technologies). Dopo aver avviato un’indagine, i ricercatori hanno individuato il pacchetto Showcase.apk all’interno del firmware dei Google Pixel.

L’app Showcase è stata sviluppata da Smith Micro e serve per mostrare le caratteristiche degli smartphone nei negozi di Verizon negli Stati Uniti. In pratica esegue una dimostrazione delle funzionalità. L’accesso doveva essere limitato ai dipendenti dell’operatore telefono, ma il file APK è finito nel firmware di tutti i Google Pixel venduti nel mondo a partire da settembre 2017.

Essendo integrata nel firmware, l’app viene eseguita a livello di sistema operativo, quindi possiede privilegi elevati. Non è attivata per impostazione predefinita, ma per i cybercriminali più esperti non è un ostacolo difficile da superare. Una volta attivata potrebbe essere sfruttata per eseguire attacchi man-in-the-middle, iniettare codice e installare spyware.

Ovviamente non può essere disinstallata con il metodo tradizionale. Un portavoce di Google ha dichiarato che l’app non viene più usata da Verizon (non è presente sui nuovi Pixel 9). Non sono stati rilevati exploit, in quanto è necessario l’accesso fisico al dispositivo e l’inserimento della password utente.

L’azienda di Mountain View ha comunicato che verrà rilasciato un aggiornamento software per eliminare l’app da tutti i Pixel. Palantir Technologies ha annunciato che tutti i Pixel usati in azienda verranno sostituiti dagli iPhone.