Vulnerabilità Android: Un Rischio Inaspettato per gli Smartphone Pixel di Google
Google ha sempre posizionato la sicurezza come uno dei punti di forza della sua linea di smartphone Pixel, garantendo aggiornamenti software per sette anni e offrendo un sistema operativo Android privo di add-on di terze parti e bloatware. Tuttavia, recenti ricerche condotte dalla società di sicurezza mobile iVerify hanno rivelato una vulnerabilità presente in ogni versione di Android per Pixel dal settembre 2017, che potrebbe esporre i dispositivi a manipolazioni e takeover.
La Vulnerabilità di Showcase.apk
Il problema riguarda un pacchetto software noto come Showcase.apk, che opera a livello di sistema e rimane invisibile agli utenti. Questa applicazione è stata sviluppata dalla Smith Micro, un'azienda di software per imprese, per Verizon, come strumento per mettere i telefoni in modalità demo nei negozi. Non si tratta di un software di Google, eppure è presente in ogni versione di Android per Pixel da anni, con privilegi di sistema elevati, inclusa l'esecuzione remota di codice e l'installazione remota di software.
Rischi Associati
La situazione diventa ancora più preoccupante poiché l'applicazione è progettata per scaricare un file di configurazione tramite una connessione web HTTP non crittografata. I ricercatori di iVerify avvertono che un attaccante potrebbe sfruttare questa vulnerabilità per prendere il controllo dell'app e, di conseguenza, dell'intero dispositivo della vittima.
La Risposta di Google
iVerify ha comunicato le sue scoperte a Google all'inizio di maggio, ma fino ad ora non è stata rilasciata alcuna correzione per il problema. Un portavoce di Google, Ed Fernandez, ha dichiarato che Showcase “non è più utilizzato” da Verizon e che Android rimuoverà l'applicazione da tutti i dispositivi Pixel supportati con un aggiornamento software “nelle prossime settimane”. Ha anche aggiunto che Google non ha riscontrato prove di sfruttamento attivo e che l'app non è presente nei nuovi dispositivi della serie Pixel 9, annunciati questa settimana.
Un'Opinione Esperta
Rocky Cole, COO di iVerify e ex analista della National Security Agency degli Stati Uniti, ha commentato: “Ho visto molte vulnerabilità in Android, e questa è unica in diversi aspetti e piuttosto preoccupante. Quando Showcase.apk è in esecuzione, ha la capacità di prendere il controllo del telefono. Ma il codice è, francamente, scadente. Ciò solleva interrogativi sul perché software di terze parti con privilegi così elevati e così profondamente integrati nel sistema operativo non sia stato testato più a fondo. Mi sembra che Google stia spingendo bloatware sui dispositivi Pixel in tutto il mondo.”
La Scoperta di iVerify
I ricercatori di iVerify hanno scoperto l'applicazione dopo che il loro scanner di rilevamento delle minacce ha segnalato un'anomalia nella validazione di un'app del Google Play Store su un dispositivo di un utente. Il cliente, la società di analisi dei big data Palantir, ha collaborato con iVerify per indagare su Showcase.apk e rivelare le scoperte a Google. Dane Stuckey, chief information security officer di Palantir, ha dichiarato che la scoperta e quella che lui descrive come la risposta lenta e opaca di Google hanno spinto Palantir a ridurre l'uso non solo dei telefoni Pixel, ma di tutti i dispositivi Android all'interno dell'azienda.
La Preoccupazione di Palantir
“L'integrazione di software di terze parti nel firmware di Android da parte di Google, senza comunicarlo a fornitori o utenti, crea una vulnerabilità di sicurezza significativa per chiunque faccia affidamento su questo ecosistema,” ha affermato Stuckey. Ha aggiunto che le sue interazioni con Google durante il consueto periodo di divulgazione di 90 giorni “hanno eroso gravemente la nostra fiducia nell'ecosistema. Per proteggere i nostri clienti, abbiamo dovuto prendere la difficile decisione di allontanarci da Android nella nostra attività.”