Relatório: telefones Google Pixel vendidos com software de monitoramento oculto

A maioria dos telefones Google Pixel vendidos desde setembro de 2017 inclui software que pode ser usado para monitorar ou controlar remotamente os telefones dos usuários, de acordo com um novo estudo. um relatório Da empresa de segurança cibernética iVerify.

A vulnerabilidade foi descoberta depois que o Endpoint Scanner and Response (EDR) do iVerify sinalizou um dispositivo Android inseguro na Palantir Technologies, um cliente do iVerify. Depois de lançar uma investigação conjunta, iVerify, Palantir e Trail of Bits descobriram um pacote de software Android oculto – Showcase.apk – em dispositivos Google Pixel. A empresa de mineração de dados Palantir, que vende seus produtos de vigilância para governos e empresas privadas, bloqueou dispositivos Android em toda a empresa em resposta.

“Isso foi muito prejudicial para a confiança, ter software inseguro de terceiros não auditado”, disse Dan Stuckey, diretor de segurança da informação da Palantir. Ele disse O Washington Post“Não temos ideia de como esse problema surgiu, então tomamos a decisão de banir efetivamente os dispositivos Android internamente.”

De acordo com o relatório do iVerify, o software foi desenvolvido por uma empresa chamada Smith Micro Software e parece ter sido criado para a Verizon para demonstrações nas lojas. O relatório do iVerify descobriu que o aplicativo estava esmaecido por padrão e precisava ser ativado manualmente. “Quando ativado, Showcase.apk disponibiliza o sistema operacional para hackers e o prepara para ataques man-in-the-middle, injeção de código e spyware. O impacto dessa vulnerabilidade é significativo e pode levar a violações de perda de dados totalizando bilhões de dólares “, dizia o relatório.

Numa declaração a BordaO porta-voz do Google, Ed Fernandez, disse que o software foi criado “para dispositivos de demonstração nas lojas Verizon e não está mais em uso”, acrescentando que o Google “não viu nenhuma evidência de qualquer exploração ativa”.

iVerify informou ao Google sobre seu relatório no início de maio, de acordo com Com fioA empresa não divulgou publicamente a vulnerabilidade nem lançou uma atualização de software para eliminar o problema. Com fio O Android supostamente removerá o aplicativo de todos os dispositivos Pixel “nas próximas semanas”, o que Fernandez confirmou ao Borda.

“É realmente irritante. Os pixels deveriam estar limpos”, disse Stucki, de Palantir, ao The Verge. correspondência“Há uma série de ferramentas de defesa integradas aos telefones Pixel.”