Компания по кибербезопасности iVerify недавно обнаружила серьезную брешь в безопасности, затрагивающую миллионы смартфонов Pixel по всему миру, и опубликовала свои выводы в новом отчете. Согласно документурассматриваемое программное обеспечение называется Showcase.apk.
Первоначально он был разработан сторонней компанией Smith Micro Software для Демо-версии в магазинах Verizon. Сотрудники в этих местах будут иметь полный доступ ко многим функциям телефона Pixel, чтобы «продемонстрировать, как они работают» заинтересованным клиентам. Обычно витрина неактивна; это ничего не делает. Однако опытный хакер может активировать его через бэкдор.
APK (Android Package Kit) получает файл конфигурации из незащищенного домена веб-служб Amazon. Злоумышленник теоретически может перехватить эти соединения или выдать себя за веб-сайт и заразить телефон Pixel вредоносным или шпионским ПО. Кроме того, поскольку у Showcase «чрезмерные системные привилегии», киберпреступникам легко скомпрометировать цель.
Что особенно пугает, так это то, что Showcase является частью экосистемы Google Pixel с сентября 2017 года. И хуже всего то, что обычный пользователь не может удалить APK с помощью стандартного процесса удаления, поскольку он считается приложением системного уровня. iVerify заявляет, что «только Google может это исправить».
Исправление ошибки в процессе
Как бы плохо ни было, есть и хорошие новости. Во-первых, похоже, что никто, даже злоумышленники, не знает об эксплойте. Представитель Google заявил Вашингтон Пост что они не наблюдали никаких атак, которые можно было бы отнести на счет Showcase. Они утверждали, что не было никаких доказательств «активной эксплуатации», и даже зашли так далеко, что заявили, что такая атака «маловероятна».
Google хорошо знает о проблеме. технологический гигант сказал Форбс Они принимают меры «из-за предосторожности» и планируют выпустить патч для всех «поддерживаемых устройств Pixel на рынке». Не беспокойтесь о серии Pixel 9, поскольку ни одна из четырех моделей не имеет Showcase.apk.
Verizon также был проинформирован об отчете. Компания заявляет, что больше не использует функцию Showcase, и оператор связи также не обнаружил никаких доказательств продолжающейся эксплуатации. Однако, как и Google, Verizon удаляет эту функцию из поддерживаемых телефонов «из соображений предосторожности».
Доступность патчей
Мы обратились к Google за разъяснениями, и тот же представитель, что и раньше, поделился аналогичной информацией, но добавил, что это не уязвимость Android или Pixel. Вместо этого технологический гигант указывает пальцем на Smith Micro. Они сообщают нам, что патч будет выпущен для телефонов Pixel на следующей неделе, и Google уведомляет других производителей Android, предполагая, что на сторонних устройствах может возникнуть такая же проблема.
Пока неизвестно, когда сторонние Android-устройства получат собственное исправление. Вероятно, это все на усмотрение других брендов.
Если вы ищете способы повысить безопасность устройства, ознакомьтесь с семью советами TechRadar по защите вашего смартфона.
Вам также может понравиться это
