Всички смартфони Google Pixel са уязвими заради скрито системно приложение със задна вратичка
Гугъл твърди, че нейните смарт телефони Pixel са извънредно сигурни, защото работят с чиста операционна система Android, без добавки или програмен продукт на трети страни. Както откриха специалистите по киберсигурност от iVerify обаче, от септември 2017 година насам всички устройства от серията Pixel работят с уязвимо прикрито приложение от трета страна, което ги прави уязвими за хакерски офанзиви.
Става дума за пакет, наименуван Showcase.apk, който работи на редовно равнище и остава незабележим за потребителя.
Той е основан за американския оператор Verizon от разработчика на корпоративен програмен продукт Smith Micro – приложението се употребява за стартиране на смарт телефони в демо режим в магазините за продажба на дребно и Гугъл няма нищо общо с него, само че то е включено във всяка версия на Android за Pixel от съвсем 7 години насам и има дълбоки систематични привилегии, в това число отдалечено осъществяване на код и отдалечено инсталиране на различен програмен продукт. Приложението също по този начин разрешава изтеглянето на конфигурационен файл през незащитена HTTP връзка, която може да бъде прихваната от евентуален нападател, с цел да получи надзор над приложението, а по-късно и над цялото устройство на жертвата.
iVerify заяви за откритието си на Гугъл още при започване на май, само че софтуерният колос към момента не е взел отношение по казуса. Приложението „ към този момент не се употребява “ от Verizon и ще бъде отстранено от всички поддържани устройства Pixel „ през идващите седмици “ със идната актуализация на Android, даде обещание представителят на Гугъл Ед Фернандес пред Wired. Showcase.apk в действителност е било употребявано преди за демонстрации в магазините за търговия на дребно, само че към този момент не се употребява, потвърдиха от Verizon. От Smith Micro не са дали коментар.
Въпреки, че Showcase.apk е рискова накърнимост за устройствата, приложението е деактивирано по дифолт. Това значи, че с цел да го употребява за злонамерени цели, евентуалният киберпрестъпник ще би трябвало да има физически достъп до смарт телефона на жертвата, с цел да започва приложението.
Съществува и възможност Showcase.apk да е конфигуриран освен на телефони Pixel, само че и на устройства от други производители, обявиха от iVerify. Това беше индиректно доказано от Ед Фернандес от Гугъл – „ уведомяваме и други производители на автентично съоръжение за Android “, съобщи той.
iVerify съпоставя откритата накърнимост с неотдавнашното световно спиране на работата на милиони компютри с Windows, породено от проблеми в софтуера на CrowdStrike. Showcase.apk също може да докара до необятно публикувани последствия, защото приложението е вградено надълбоко в системата. На фона на възходящия брой сходни произшествия специалистите приканват за по-строги ограничения за сигурност на фърмуера, както и за по-прозрачен развой по създаване и тестване.
