Эксперты по безопасности только что обнаружили серьезную ошибку в телефонах Google Pixel

Google исправляет серьезную уязвимость на уровне прошивки, которая присутствует на миллионах смартфонов Pixel, проданных по всему миру с 2017 года. «Из соображений предосторожности мы удалим эту уязвимость со всех поддерживаемых устройств Pixel на рынке в предстоящем обновлении программного обеспечения Pixel. «, — сообщили в компании The Washington Post .

Основная проблема заключается в пакете приложений под названием Showcase.apk, который является элементом прошивки Android и имеет доступ к множеству системных привилегий. Обычно средний пользователь смартфона не может включить его или напрямую взаимодействовать с ним, но исследование iVerify доказало, что злоумышленник может использовать его, чтобы нанести серьезный ущерб.

«Эта уязвимость делает операционную систему доступной для киберпреступников для совершения атак «человек посередине», внедрения вредоносного ПО и установки шпионского ПО», — заявили в компании. Охранная фирма сообщила, что уязвимость открывает возможности для удаленного выполнения кода и удаленной установки пакетов.

Это означает, что злоумышленник может установить вредоносное ПО на целевое устройство, не имея к нему физического доступа. Киберпреступники могут впоследствии запускать различные формы атак в зависимости от внедренного вредоносного ПО, включая, помимо прочего, кражу конфиденциальных данных или захват системы.

Основная проблема заключается в том, что Showcase.apk загружает ресурсы конфигурации через незащищенное HTTP-соединение, что делает его уязвимым для злоумышленников. Что еще страшнее, так это то, что пользователи не могут удалить его напрямую, как они могут удалить другие приложения, хранящиеся на своих телефонах.

Очень пиксельная проблема

Экран Google Pixel 8a.
Энди Боксалл / Цифровые тенденции

Итак, какое же значение имеет Google Pixel во всей этой последовательности, а не каждый Android-телефон на планете? Что ж, пакет Showcase.apk предустановлен в прошивке Pixel, а также является основным компонентом OTA-образов, которые Google публично публикует для установки обновлений программного обеспечения — особенно на ранних этапах процесса разработки.

iVerify отмечает, что хакер может активировать пакет несколькими способами, даже если по умолчанию он неактивен. Google может столкнуться с серьезной критикой после раскрытия информации по нескольким причинам.

Во-первых, iVerify сообщает, что уведомила Google о своем тревожном открытии за 90 дней до публикации, но Google не предоставил обновленную информацию о том, когда он исправит ошибку, в результате чего миллионы устройств Pixel, проданных по всему миру, подвергаются риску. Во-вторых, одно из устройств, помеченных как незащищенные, активно использовалось в Palantir Technologies, аналитической компании, недавно заключившей контракт на сумму около полумиллиарда долларов с Министерством обороны США на создание систем компьютерного зрения для армии США.

Теперь, просто для ясности, проблема не в самом Showcase.apk. Это способ загрузки файлов конфигурации через незащищенное HTTP-соединение, которое рассматривалось как открытое приглашение хакеров к слежке. Чтобы дать вам представление об угрозе, браузер Google Chrome предупреждает пользователей каждый раз, когда они посещают веб-сайт, использующий старый протокол HTTP. вместо более безопасной архитектуры HTTPS.

Это серьезно

Google Pixel 9 Pro XL рядом с Google Pixel 8 Pro.
Аджай Кумар / Цифровые тенденции

Независимо от источника угрозы, Google может столкнуться с проблемами из-за того, что смартфоны Pixel, находящиеся в зоне риска, активно использовались оборонным подрядчиком, что теоретически может поставить под угрозу национальную безопасность. Нетрудно догадаться, почему.

Просто взгляните на то, как TikTok был запрещен для федеральных служащих во многих штатах, ссылаясь на аналогичные проблемы национальной безопасности. «Это действительно очень тревожно. Пиксели должны быть чистыми. На телефонах Pixel построено множество оборонных устройств», — рассказал The Post Дейн Стаки, директор по информационной безопасности Palantir.

Приложение было создано компанией Smith Micro для телекоммуникационного гиганта Verizon с целью перевода телефонов в демонстрационный режим для розничных магазинов. Более того, поскольку само приложение не содержит вредоносного кода, антивирусные приложения или программное обеспечение практически не могут пометить его как таковое. Google, с другой стороны, заявляет, что для использования уязвимости потребуется физический доступ и знание пароля телефона.

iVerify, однако, также поднял вопросы по поводу широкого присутствия приложения. Когда он был разработан для демонстрационных устройств по запросу Verizon, почему пакет был частью прошивки Pixel на устройствах, а не только на тех, которые предназначались для инвентаря оператора связи?

После проверки безопасности компания Palantir фактически удалила все устройства Android из своего парка и перешла исключительно на iPhone, и этот переход завершится в течение следующих нескольких лет. К счастью, не обнаружено никаких свидетельств того, что уязвимость Showcase.apk использовалась злоумышленниками.