I telefoni Google Pixel hanno un’importante falla di sicurezza. Mentre Google ha presentato questa settimana un’impressionante gamma di telefoni Pixel 9 di nuova generazione, tra cui un modello standard – il Pixel 9 – e tre modelli Pro: Pixel 9 Pro, Pixel 9 Pro XL e Pixel 9 Pro Fold, sono emersi nuovi rapporti che indicano una vulnerabilità di sicurezza nella maggior parte dei telefoni Pixel venduti da settembre 2017.
Secondo un nuovo rapporto della società di cybersicurezza iVerify, questi dispositivi dispongono di un software che può essere utilizzato per sorvegliare o controllare a distanza i telefoni degli utenti. La vulnerabilità è stata scoperta dopo che lo scanner EDR (endpoint detection and response) di iVerify ha segnalato un dispositivo Android insicuro presso Palantir Technologies, un cliente di iVerify, riporta The Verge.
Dopo aver avviato un’indagine congiunta, iVerify, Palantir e Trail of Bits hanno scoperto un pacchetto software Android nascosto – Showcase.apk – nei dispositivi Google Pixel. Showcase.apk, un’applicazione di terze parti, è stata sviluppata da una società chiamata Smith Micro Software, secondo il rapporto di iVerify. Sembra che sia stata installata da Verizon sui telefoni Pixel negli Stati Uniti. L’installazione è utile per mostrare il telefono come dispositivo dimostrativo nei negozi Verizon, ma lo stesso programma contiene anche profondi privilegi di sistema che consentono a potenziali hacker di accedere al dispositivo come “backdoor”.
L’applicazione era inattiva per impostazione predefinita, ma doveva essere attivata manualmente, si legge nel rapporto di iVerify. “Se attivata, Showcase.apk rende il sistema operativo accessibile agli hacker e maturo per attacchi man-in-the-middle, iniezione di codice e spyware”, si legge nel rapporto. “L’impatto di questa vulnerabilità è significativo e potrebbe causare perdite di dati per un totale di miliardi di dollari”.
In risposta alla scoperta, l’azienda di data-mining Palantir, che vende prodotti di sorveglianza a governi e aziende private, ha vietato i telefoni Android in tutta l’azienda.
iVerify ha riferito di aver notificato a Google il rapporto all’inizio di maggio. Google non ha rivelato pubblicamente la vulnerabilità nonostante la notifica sia avvenuta a maggio, né ha rilasciato un aggiornamento del software per rimuovere il problema. Google ha ora dichiarato che il software non è più in uso. Il portavoce di Google ha dichiarato che il software è stato realizzato per i dispositivi dimostrativi di Verizon e non viene più utilizzato, aggiungendo che Google non ha riscontrato alcuna prova di sfruttamento attivo. Wired ha riportato che Android rimuoverà immediatamente l’applicazione da tutti i dispositivi Pixel.
