Aplikacja przeznaczona do demonstracji w sklepach Verizon, zidentyfikowana jako Showcase.apk, naraziła kilka generacji smartfonów Pixel na szereg różnych typów ataków. Aplikacja istnieje od 2017 roku i naraża na ryzyko prawie każde urządzenie Pixel sprzedane w tym czasie. Google zauważył jednak, że zobowiązuje się do usunięcia oprogramowania ze wszystkich urządzeń Pixel, których dotyczy problem.
Firma Google ogłosiła niedawno najnowszą linię smartfonów Pixel, w tym nowy model XL i najnowszy Pixel Pro 9 Pro. Choć bezpieczeństwo zawsze znajdowało się na pierwszym miejscu listy funkcji przy zakupie smartfona Pixel, zawsze istnieje ryzyko, że mimo zastosowanych zabezpieczeń coś się stanie. Tak jest w przypadku nowej luki, która naraziła miliony urządzeń Pixel na ataki typu man-in-the-middle, umożliwiając cyberprzestępcom wprowadzenie złośliwego kodu i niebezpiecznego oprogramowania szpiegującego – wynika z nowej analizy przeprowadzonej przez badaczy z iVerify. Badacze zauważyli, że plik Showcase.apk jest preinstalowany w oprogramowaniu Pixel i zawarty w obrazie OTA Google dla urządzeń Pixel.
Według rzecznika Google Showcase to aplikacja opracowana przez Smith Micro do użytku jako wewnętrzna wersja demonstracyjna Verizon. Aplikacja umożliwiła operatorowi pokazywanie klientom w sklepach Verizon najważniejszych cech urządzenia Pixel. Chociaż nie jest ono aktywnie włączone na zakupionym telefonie Pixel, oprogramowanie nadal tam jest i stanowi zagrożenie dla bezpieczeństwa.
Analiza iVerify wykazała, że jeśli aplikacja miałaby zostać włączona, istnieje możliwość, że osoba atakująca mogłaby wykorzystać braki w zabezpieczeniach aplikacji w celu przejęcia kontroli nad urządzeniem. Bycie Showcase zapewnia wiele uprawnień, co również zwiększa potencjalne luki w zabezpieczeniach. Przykładem podanym przez iVerify jest to, że cyberprzestępcy mogą wykorzystywać luki w infrastrukturze aplikacji do wykonywania kodu lub poleceń powłoki z uprawnieniami systemowymi na urządzeniach z Androidem w celu przejmowania urządzeń w celu popełniania cyberprzestępczości i naruszeń.
„Widziałem wiele luk w zabezpieczeniach Androida, a ta jest pod kilkoma względami wyjątkowa i dość niepokojąca” – zauważył Rocky Cole, dyrektor operacyjny iVerify i były analityk amerykańskiej Agencji Bezpieczeństwa Narodowego. „Po uruchomieniu Showcase.apk może przejąć kontrolę nad telefonem. Ale szczerze mówiąc, kod jest tandetny. Rodzi to pytanie, dlaczego oprogramowanie innych firm, które działa z tak wysokimi uprawnieniami tak głęboko w systemie operacyjnym, nie zostało dokładniej przetestowane. Wydaje mi się, że Google wypycha bloatware na urządzenia Pixel na całym świecie.
Dobra wiadomość jest taka, że osoba atakująca musi albo wiedzieć Prezentacja aplikacji jest już aktywowany na smartfonie Pixel lub zna hasło, aby samodzielnie je aktywować, zanim będzie mógł skorzystać z luki. Wadą jest to, że usunięcie aplikacji nie jest możliwe w ramach standardowego procesu dezinstalacji wykonywanego przez użytkownika, a firma Google nie wydała jeszcze łatki usuwającej tę lukę (chociaż już nadchodzi).
„Zdecydowanie wolelibyśmy, aby Google załatało tę poprawkę, zanim porozmawiamy o tym publicznie, ale brak możliwości podania konkretnej daty wprowadzenia poprawki nie pozostawił nam innego wyboru” – wyjaśnił Cole. „Przeciwnik dysponujący dobrymi zasobami, taki jak państwo narodowe, mógłby to wykorzystać — może to stanowić tylne wejście do praktycznie każdego Pixela na świecie”.