Según un nuevo estudio, la mayoría de los teléfonos Google Pixel vendidos desde septiembre de 2017 incluyen software que se puede utilizar para monitorear o controlar los teléfonos de los usuarios de forma remota. un informe De la empresa de ciberseguridad iVerify.

La vulnerabilidad se descubrió después de que Endpoint Scanner and Response (EDR) de iVerify señalara un dispositivo Android inseguro en Palantir Technologies, un cliente de iVerify. Después de iniciar una investigación conjunta, iVerify, Palantir y Trail of Bits descubrieron un paquete de software Android oculto (Showcase.apk) en los dispositivos Google Pixel. La empresa de extracción de datos Palantir, que vende sus productos de vigilancia a gobiernos y empresas privadas, bloqueó los dispositivos Android en toda la empresa en respuesta.

«Esto fue muy perjudicial para la confianza, tener software inseguro de terceros no auditado», dijo Dan Stuckey, director de seguridad de la información de Palantir. el dijo El Correo de Washington«No tenemos idea de cómo llegó este problema, por lo que tomamos la decisión de prohibir efectivamente los dispositivos Android internamente».

Según el informe de iVerify, el software fue desarrollado por una empresa llamada Smith Micro Software y parece haber sido creado para Verizon para demostraciones en las tiendas. El informe de iVerify encontró que la aplicación estaba atenuada de forma predeterminada y debía habilitarse manualmente. «Cuando está habilitado, Showcase.apk hace que el sistema operativo esté disponible para los piratas informáticos y esté listo para ataques de intermediarios, inyección de código y software espía. El impacto de esta vulnerabilidad es significativo y podría provocar filtraciones de datos por un total de miles de millones de dólares. «, dice el informe.

En una declaración a BordeEl portavoz de Google, Ed Fernández, dijo que el software fue creado «para dispositivos de demostración en las tiendas Verizon y ya no está en uso», y agregó que Google «no ha visto evidencia de ninguna explotación activa».

iVerify informó a Google de su informe a principios de mayo. de acuerdo a cableadoLa empresa no reveló públicamente la vulnerabilidad ni emitió una actualización de software para eliminar el problema. cableado Según se informa, Android eliminará la aplicación de todos los dispositivos Pixel «en las próximas semanas», según confirmó Fernández. Borde.

«Es realmente molesto. Se supone que los píxeles deben estar limpios», dijo Stucki de Palantir a The Verge. correo«Hay una variedad de herramientas de defensa integradas en los teléfonos Pixel».