אחוז גדול ממכשירי ה- Pixel של גוגל שנשלחו ברחבי העולם מאז ספטמבר 2017 כללו נוזקה רדומה אשר יכולה לשמש כדי להפעיל מתקפות סייבר ולהוריד סוגים שונים של נוזקות. לפי חברת האבטחה הסלולרית iVerify, הבעיה מתבטאת באפליקציית אנדרואיד מותקנת מראש בשם 'Showcase.apk' שמגיעה עם הרשאות מערכת מוגזמות, כולל היכולת להפעיל קוד מרחוק ולהתקין נוזקות במכשיר: "האפליקציה מורידה קובץ תצורה דרך חיבור לא מאובטח וניתנת למניפולציה כדי להפעיל קוד ברמת המערכת", נכתב בניתוח שפורסם במשותף עם Palantir Technologies ו- Trail of Bits. "האפליקציה מאחזרת את קובץ התצורה מדומיין אחד בארה"ב המתארח ב- AWS דרך HTTP לא מאובטח, מה שמותיר את התצורה פגיעה ויכול להפוך את המכשיר לפגיע."
האפליקציה נקראת Verizon Retail Demo Mode והיא קיימת מאז אוגוסט 2016. עיקר הבעיה היא שהאפליקציה מורידה קובץ תצורה דרך חיבור HTTP לא מוצפן, בניגוד ל- HTTPS ובכך פותחת את הדלת לשינוי שלו במהלך המעבר לטלפון. יש לציין כי האפליקציה אינה תוכנה מתוצרת גוגל, אלא פותחה על ידי חברת תוכנה ארגונית בשם Smith Micro כדי להכניס את המכשיר למצב הדגמה. נכון לעכשיו לא ברור מדוע תוכנת צד שלישי מוטמעת ישירות בקושחת אנדרואיד, אך נציג גוגל טען כי האפליקציה היא בבעלות Verizon והיא נדרשת בכל מכשירי האנדרואיד.
התוצאה היא שהאפליקציה משאירה את סמארטפונים של Android Pixel רגישים למתקפות של יריב-באמצע (AitM) ומעניקה לפושעי סייבר הרשאות להחדיר קוד זדוני ותוכנות ריגול. מלבד פעולת האפליקציה בהקשר זכויות יתר ברמת המערכת, לא מצליחה האפליקציה לאמת דומיין מוגדר סטטי במהלך אחזור קובץ התצורה שלה ומשתמשת באתחול משתנה ברירת מחדל לא מאובטח במהלך אימות אישור וחתימה. עם זאת, הקריטיות של החיסרון מתמתנת במידה מסוימת על ידי העובדה שהאפליקציה אינה מופעלת כברירת מחדל, אם כי ניתן לעשות זאת כאשר לפושעי הסייבר יש גישה פיזית למכשיר היעד ומצב מפתח מופעל.
"מכיוון שהאפליקציה הזו אינה זדונית מטבעה, רוב טכנולוגיות האבטחה עלולות להתעלם ממנה ולא לסמן אותה כזדונית ומכיוון שהאפליקציה מותקנת ברמת המערכת וחלק מהקושחה, לא ניתן להסיר אותה ברמת המשתמש." אמרו iVerify.
בהצהרה שחלקה עם The Hacker News, אמרה גוגל שזו לא פלטפורמת אנדרואיד ולא פגיעות של Pixel וכי היא קשורה לקובץ חבילה שפותח עבור מכשירי הדגמה של Verizon בחנות. גוגל גם טוענים שהאפליקציה כבר לא בשימוש. "ניצול האפליקציה הזו בטלפון דורש גם גישה פיזית למכשיר וגם את הסיסמה של המשתמש", אמר דובר גוגל והוסיף: "לא ראינו עדות לניצול אקטיבי כלשהו, אך מתוך זהירות, נסיר את האפליקציה מכל מכשירי ה- Pixel הנתמכים בשוק עם עדכון תוכנת Pixel בקרוב. האפליקציה לא קיימת במכשירי סדרת Pixel 9. אנחנו הם גם מודיעים ליצרני OEM אחרים של אנדרואיד."