Felizmente, a aplicação vem desativada por defeito.
A Google decidiu remover uma aplicação chamada Showcase e que está instalada na maioria dos smartphones Pixel. Isto acontece após uma descoberta feita por pesquisadores de segurança do iVerify, que dão conta de que a mesma causa uma falha de segurança. Para quem não conhece, Showcase é uma aplicação (APK) pré-carregada nos dispositivos Pixel desde 2017, e foi desenvolvida pela Smith Micro em nome da Verizon e foi utilizada para lançar um modo de demonstração do aparelho, para que o telefone possa ser utilizado nas lojas.
O problema da aplicação é a forma como a mesma funciona. A aplicação descarrega um ficheiro de configuração através de uma ligação insegura (HTTP) e pode ser manipulada para executar código em nível de sistema. A aplicação recupera o ficheiro de configuração de um único domínio baseado nos EUA hospedado pela Amazon Web Services (AWS). Como isso ocorre por HTTP e não por HTTPS, isso pode tornar a configuração vulnerável.
A forma como a aplicação funciona deixa milhões de dispositivos Pixel vulneráveis a ataques man-in-the-middle, permitindo que hackers injetem códigos maliciosos e spyware. Os hackers podem usar vulnerabilidades na infraestrutura da aplicação para executar códigos ou comandos shell com privilégios de sistema para assumir o controlo de dispositivos Android e realizar atos maliciosos.
Há um ponto “positivo” na história: a aplicação, embora pré-carregada em todos os dispositivos Pixel, vem desativada por padrão, o que significa que têm de ter acesso físico ao equipamento para a ativar.
Google afirma que essa falha de segurança nunca foi explorada
A equipa do iVerify notificou a Google em maio sobre esta aplicação Showcase problemática. A empresa irá removê-la dentro de algumas semanas e aproveitou para confirmar que a aplicação deixou de ser utilizada pela Verizon e que não há evidências de exploração ativa da falha de segurança por hackers.
