Showcase.apk: herramienta de espionaje en cada Pixel

La empresa iVerify descubrió una vulnerabilidad en la aplicación Showcase.apk, preinstalada en millones de dispositivos Pixel en todo el mundo desde septiembre de 2017. Los privilegios excesivos del sistema de la aplicación permiten la ejecución remota de código y la instalación de paquetes maliciosos en el dispositivo.

Los especialistas de iVerify y las empresas asociadas Palantir Technologies y Trail of Bits realizaron una investigación exhaustiva que mostró que Showcase.apk es parte del firmware de los dispositivos Pixel y está incluido en las imágenes OTA (over-the-air). Google aún no ha ofrecido una solución al problema, y la aplicación no se puede eliminar de manera estándar.

Según iVerify, la aplicación fue desarrollada por la empresa Smith Micro Software de Pensilvania, que se especializa en software de acceso remoto y herramientas de control parental. Showcase.apk fue diseñada originalmente para que los empleados de las tiendas demostraran el funcionamiento de los dispositivos. Los representantes de Smith Micro no comentaron sobre el descubrimiento de los especialistas.

La aplicación descarga archivos de configuración desde un dominio a través de un protocolo HTTP no seguro, lo que permite reemplazar los archivos durante la transmisión de datos. Un atacante puede intervenir en el proceso de transmisión e inyectar código malicioso que ejecutará comandos con privilegios de sistema, otorgando al hacker control total sobre el dispositivo. Además, la aplicación no verifica la autenticidad del dominio desde el cual se descargan los archivos de configuración, lo que agrava aún más el problema.

Durante el análisis técnico, los especialistas descubrieron fallos en el código de Showcase.apk. Por ejemplo, la aplicación no realiza una verificación adecuada de certificados y firmas, lo que permite a un ciberdelincuente eludir los procesos de verificación al cargar archivos. Además, la aplicación utiliza direcciones URL predecibles para comunicarse con el servidor remoto, lo que facilita la tarea a los hackers.

A raíz de estos eventos, Palantir Technologies, una de las empresas más grandes en el campo del análisis de datos y que presta servicios a agencias de inteligencia estadounidenses, ha dejado de usar dispositivos Android en favor del iPhone dentro de la empresa durante varios años. Aunque en la mayoría de los dispositivos la aplicación está inactiva por defecto y debe activarse manualmente, existe la posibilidad de que Showcase.apk pueda ser activada por otros medios.

iVerify compara la vulnerabilidad encontrada con un reciente fallo global en Windows causado por problemas en el software de CrowdStrike. La vulnerabilidad de Showcase.apk también podría tener consecuencias a gran escala, ya que el error está profundamente incrustado en el sistema.

iVerify informó a Google sobre el problema hace más de 3 meses, pero hasta hace poco la corporación no había tomado ninguna medida para resolver el error. Solo después de la publicación del informe, Google prometió lanzar una actualización que eliminará la aplicación peligrosa de los dispositivos Pixel compatibles. Un representante de Google declaró que las notificaciones sobre el problema también se enviarán a otros fabricantes de dispositivos Android.

Google aún no ha registrado casos de explotación de la vulnerabilidad a través de Showcase y asegura que para activarla se requiere acceso físico al dispositivo y la contraseña del usuario. Sin embargo, los representantes de Palantir creen que la mera presencia de tal aplicación en los dispositivos Google Pixel es preocupante, ya que estos modelos de teléfonos se consideran los más seguros entre los dispositivos Android. También no está claro por qué Google preinstala la aplicación en todos los dispositivos Pixel cuando, en realidad, solo se utiliza en un número limitado de casos.

A la luz del creciente número de incidentes de este tipo, los expertos instan a reforzar las medidas de seguridad del software integrado, así como a un proceso más transparente de desarrollo y pruebas.