Milhões de dispositivos Google Pixel enviados globalmente desde setembro de 2017 foram equipados com um aplicativo vulnerável, o que pode expor os usuários a ataques maliciosos e infecções por malware. A vulnerabilidade foi identificada em um aplicativo pré-instalado no Android chamado “Showcase.apk,” que possui privilégios excessivos no sistema, incluindo a capacidade de executar código remotamente e instalar pacotes arbitrários no dispositivo, conforme relatado pela empresa de segurança móvel iVerify.

O problema está relacionado ao fato de que o aplicativo faz o download de um arquivo de configuração através de uma conexão não segura, o que pode ser manipulado para executar código em nível de sistema. A análise conjunta da iVerify com a Palantir Technologies e a Trail of Bits revelou que esse arquivo de configuração é recuperado de um único domínio hospedado na AWS, utilizando HTTP não criptografado, tornando o dispositivo vulnerável a ataques durante a transferência de dados.

O aplicativo problemático, conhecido como Verizon Retail Demo Mode (“com.customermobile.preload.vzw”), requer quase três dezenas de permissões diferentes, incluindo acesso à localização e ao armazenamento externo. Apesar da gravidade da falha, postagens em fóruns como Reddit e XDA indicam que o pacote existe desde agosto de 2016 e, até o momento, não há evidências de que tenha sido explorado ativamente em ataques.

Essa vulnerabilidade torna os smartphones Android Pixel suscetíveis a ataques adversários no meio (AitM), permitindo que atores maliciosos injetem código malicioso e spyware nos dispositivos. Em resposta, a Google afirmou que essa não é uma vulnerabilidade da plataforma Android ou dos dispositivos Pixel em si, mas sim relacionada a um arquivo de pacote desenvolvido para dispositivos de demonstração da Verizon. A empresa garantiu que o aplicativo não está mais em uso e será removido de todos os dispositivos Pixel suportados por meio de uma atualização de software.