Il mondo della tecnologia è scosso da una notizia inquietante: Google ha venduto per anni smartphone Pixel con un’applicazione nascosta che potrebbe essere utilizzata per la sorveglianza e il controllo remoto dei dispositivi. Questa applicazione, conosciuta come Showcase.apk, è stata scoperta dai ricercatori di sicurezza di iVerify e si trova preinstallata su tutti i modelli Pixel a partire dal Pixel 2.
Sebbene l’app sia destinata a scopi dimostrativi nei negozi Verizon, la sua presenza solleva gravi preoccupazioni per la sicurezza degli utenti. Showcase.apk è stata progettata per consentire ai dipendenti dei negozi Verizon di accedere a funzionalità avanzate di Android durante le dimostrazioni dei dispositivi. Tuttavia, il problema principale è che questa applicazione può essere attivata a distanza e utilizzata per scopi malevoli.
I ricercatori di iVerify sono riusciti a risvegliare l’app e a farla comunicare con un sito non sicuro “http”, anziché “https”. Questo significa che le istruzioni caricate possono essere intercettate e manipolate da hacker, esponendo i dispositivi a rischi di attacchi di tipo “man-in-the-middle”, che potrebbero iniettare codice dannoso o spyware sui telefoni degli utenti. Nonostante la scoperta, Google non ha subito adottato misure correttive.
I rappresentanti di iVerify hanno informato Google della vulnerabilità circa 90 giorni fa, ma l’azienda non ha fornito una risposta ufficiale riguardo a un possibile aggiornamento o alla rimozione dell’app. Questa inazione ha portato a una reazione immediata da parte di Palantir Technologies, una compagnia nota per il suo lavoro con le strutture militari e di intelligence. Palantir ha deciso di vietare l’uso di dispositivi Android nei suoi uffici fino a quando la questione non sarà risolta, citando la presenza di software non verificato e potenzialmente pericoloso come una minaccia alla sicurezza.
Dopo l’esposizione pubblica della vulnerabilità, Google ha dichiarato che Showcase.apk era “destinata agli apparecchi dimostrativi di Verizon e non è più in uso“. L’azienda ha aggiunto che non ci sono prove di un’esploitazione attiva dell’applicazione, ma la formulazione vaga della dichiarazione ha sollevato dubbi. Google ha promesso di rimuovere questa funzione da tutti i dispositivi Pixel ancora in commercio con il prossimo aggiornamento software, cercando di arginare il problema e ripristinare la fiducia degli utenti.