Google исправляет серьезную уязвимость на уровне прошивки, которая присутствовала в миллионах смартфонов Pixel, проданных по всему миру с 2017 года. «В качестве меры предосторожности мы удалим их со всех поддерживаемых устройств Pixel на рынке в предстоящем обновлении программного обеспечения Pixel», — заявили в компании. Вашингтон Пост.

Настоящая проблема — пакет приложений под названием Showcase.apk, элемент прошивки Android, имеющий доступ к нескольким системным разрешениям. Обычно средний пользователь смартфона не может активировать его или взаимодействовать с ним напрямую, но исследование iVerify доказало, что злоумышленник может воспользоваться этим, чтобы нанести серьезный вред.

«Эта уязвимость делает операционную систему доступной для киберпреступников, которые могут осуществлять атаки «человек посередине», внедрение вредоносного ПО и установку шпионского ПО», — заявили в компании. Охранная компания заявила, что эта уязвимость открывает возможности для удаленного выполнения кода и удаленной установки пакетов.

Это означает, что злоумышленник может установить вредоносное ПО на целевое устройство, не имея к нему физического доступа. Киберпреступники могут затем запускать различные формы атак в зависимости от внедренного ими вредоносного ПО, включая кражу конфиденциальных данных или захват системы.

Основная проблема заключается в том, что Showcase.apk загружает ресурсы конфигурации через незащищенное HTTP-соединение, что делает его уязвимым для злоумышленников. Что еще страшнее, так это то, что пользователи не могут удалить его напрямую, как другие приложения, хранящиеся на их телефонах.

Очень пиксельная проблема

Так как же Google Pixel вписывается в эту последовательность, а не в каждый телефон Android на планете? Что ж, пакет Showcase.apk предварительно установлен в прошивке Pixel, а также является основным компонентом OTA-образов, которые Google публично публикует для установки обновлений программного обеспечения, особенно на ранних этапах процесса разработки.

iVerify отмечает, что хакеры могут активировать пакет несколькими способами, даже если он не активен по умолчанию. У Google могут возникнуть серьезные проблемы из-за этих разоблачений по нескольким причинам.

Во-первых, iVerify заявляет, что уведомила Google о своем тревожном открытии за 90 дней до публикации, но Google не предоставил обновленную информацию о том, когда он исправит ошибку, подвергая риску миллионы устройств Pixel, проданных по всему миру. Во-вторых, одно из устройств, помеченных как незащищенное, активно использовалось Palantir Technologies, аналитической фирмой, которая недавно запустила Договор Министерство обороны США заключило контракт на производство систем компьютерного зрения для армии США на сумму около полумиллиарда долларов.

Просто для ясности: проблема не в самом Showcase.apk. Именно такой способ загрузки файлов конфигурации через незащищенное HTTP-соединение считался открытым приглашением хакеров к слежке. Чтобы дать вам представление об угрозе, браузер Chrome от Google предупреждает пользователей каждый раз, когда они посещают веб-сайт, использующий старый протокол HTTP вместо более безопасной архитектуры HTTPS.

После публикации этой истории представитель Google направил в Digital Trends следующее заявление, чтобы дополнительно прояснить всю ситуацию:

«Это не платформа Android и не уязвимость Pixel, а скорее APK, разработанный Smith Micro для демонстрационных устройств Verizon, продаваемых в магазинах, который больше не используется. Для использования этого приложения на телефоне пользователя требуется как физический доступ к устройству, так и пароль пользователя. Мы не увидели никаких свидетельств активной эксплуатации. В качестве меры предосторожности мы удалим эту функцию со всех поддерживаемых устройств Pixel на рынке в следующем обновлении программного обеспечения Pixel. Приложение отсутствует на устройствах серии Pixel 9. Мы также уведомляем других OEM-производителей Android».

Это серьёзно

Независимо от источника угрозы, у Google могут возникнуть проблемы, поскольку скомпрометированные смартфоны Pixel активно используются оборонным подрядчиком, что теоретически может угрожать национальной безопасности. Нетрудно догадаться, почему.

Просто посмотрите, как TikTok был запрещен для федеральных служащих в нескольких штатах из-за аналогичных проблем национальной безопасности. «Это действительно очень тревожно. Пиксели должны быть чистыми. В телефоны Pixel встроено множество защитных технологий», — рассказал The Post Дейн Стаки, директор по информационной безопасности Palantir.

Приложение было разработано компанией Smith Micro для телекоммуникационного гиганта Verizon, чтобы перевести телефоны в демонстрационный режим для розничных магазинов. Поскольку само приложение не содержит вредоносного кода, антивирусным приложениям или программному обеспечению практически невозможно пометить его как таковое. Google, с другой стороны, заявляет, что для использования уязвимости потребуется физический доступ и знание пароля телефона.

Однако iVerify также поднял вопросы по поводу широкого использования приложения. Когда приложение было разработано для демонстрационных устройств по запросу Verizon, почему пакет был частью прошивки Pixel на устройствах, а не только на тех, которые предназначались для инвентаря оператора связи?

После проверки безопасности Palantir удалила из своего парка практически все Android-устройства и перешла исключительно на iPhone. Этот переход завершится в ближайшие несколько лет. К счастью, нет никаких доказательств того, что уязвимость Showcase.apk была использована злоумышленниками.