O problema está relacionado ao “Showcase.apk”, um programa feito para a Verizon e usado para colocar os dispositivos Pixel no modo de demonstração enquanto estão expostos em lojas de varejo. O software baixa um arquivo de configuração por meio de uma conexão web não criptografada, o que, devido ao acesso profundo do Showcase, pode permitir que atores mal-intencionados executem código remoto ou instalem pacotes remotamente no dispositivo.
A parte especialmente preocupante dessa descoberta é que o Showcase não pode ser desinstalado no nível do usuário. E, embora não esteja ativado por padrão, a iVerify disse que pode haver várias maneiras de ativar o software. A iVerify alertou o Google sobre a vulnerabilidade em maio; até o momento, não há evidências confirmadas de que tenha sido explorada.
Um porta-voz do Google disse à Wired que o Showcase “não está mais sendo usado” pela Verizon e que o Google terá uma atualização de software para remover o programa de todos os dispositivos Pixel “nas próximas semanas”. Além disso, o representante disse que o Showcase não está presente na linha de dispositivos Google Pixel 9 anunciados durante o evento Made by Google nesta semana.
Redação Confraria Tech.
Referências:
Researchers claim most Google Pixel phones shipped with exploitable bloatware since 2017
