Um aplicativo oculto e não seguro presente em celulares Google Pixel pode permitir monitorar e controlar remotamente esses dispositivos, abrindo brechas para ações de cibercriminosos. É o que descobriu a empresa de segurança cibernética iVerify, conforme detalhou o The Washington Post na última quinta-feira (15).
Denominado “Showcase.apk”, o app oferece aos funcionários de lojas que vendem os smartphones Pixel e outros modelos Android a possibilidade de acesso total nesses aparelhos, para a demonstração de funções. Ele fica inativo, mas pesquisadores da iVerify conseguiram habilitá-lo e acreditam que hackers também possam fazê-lo.
Se explorado maliciosamente, o app possibilita espionar e controlar o celular remotamente. (Imagem: Getty Images)Fonte: Getty Images/Reprodução
Quando ativo, esse software baixa instruções de uma página hospedada na Amazon Web Services por meio de uma conexão insegura, facilitando interceptações e a substituição por instruções maliciosas. Isso deixa milhões de celulares Pixel vulneráveis a ataques de injeção de códigos maliciosos, segundo o relatório.
Os responsáveis pela descoberta afirmam, ainda, que o Showcase está pré-instalado no firmware de grande parte dos modelos Pixel vendidos pelo Google desde 2017. Além disso, não há como removê-lo pelos métodos convencionais de desinstalação de aplicativos do sistema.
Google se pronuncia
Segundo a firma de segurança, o Google foi alertado sobre a possibilidade de exposição dos usuários dos aparelhos Pixel com a exploração do app oculto há pelo menos três meses. Inicialmente, a gigante de Mountain View não disse se removeria o programa ou tomaria alguma atitude para evitar o uso malicioso dele.
Mas na quarta-feira (14), a big tech informou que removerá o Showcase na próxima atualização de software do Pixel. A companhia também comentou que o app foi feito exclusivamente para dispositivos de demonstração da loja da operadora Verizon, requer acesso físico e senha para ser explorado e não é mais utilizado.
A gigante das buscas também disse não haver registros de invasões de dispositivos a partir do Showcase. Mesmo com essa garantia dada pelo Google, a empresa de análise de dados Palantir Technologies decidiu parar de fornecer celulares Android aos funcionários, por medida de segurança, ao saber da existência do recurso oculto.