Aplikacja Showcase, stworzona przez Smith Micro dla Verizon, miała służyć do prezentowania telefonów w sklepach. Od 7 lat preinstalowana była w smartfonach Google Pixel. I dopiero teraz okazało się, że zawiera poważną lukę w zabezpieczeniach umożliwiającą zdalne wykonanie kodu i przejęcie kontroli nad urządzeniem. Co na to Google?
Spis treści
Preinstalowana aplikacja z backdoorem
Badacze z Iverify odkryli krytyczną lukę w zabezpieczeniach, która czaiła się w urządzeniach Pixel od 2017 r., potencjalnie narażając na ryzyko miliony użytkowników smartfonów Google Pixel. Jej źródłem okazała się aplikacja Showcase.apk, zaprojektowana dla Verizon przez Smith Micro, amerykańską firmę programistyczną. Ma służyć do przekształcania Pixeli w urządzenia demonstracyjne, jednak zawiera zaszyty w kodzie backdoor, który daje atakującym sposób na włamanie się do urządzenia.
Przez rzeczoną aplikację system operacyjny jest podatny na ataki hakerów, umożliwiając ataki typu man-in-the-middle, wstrzykiwanie kodu czy instalowanie oprogramowania szpiegującego. Co więcej, aplikacja pobierała pliki konfiguracyjne przez niezabezpieczone połączenie HTTP.
Google bagatelizuje problem?
Według Google opisywany problem nie dotyczy systemów zabezpieczenia platformy Android ani Pixel, jest to bowiem aplikacja opracowana przez Smith Micro dla urządzeń demonstracyjnych Verizon w sklepach. Showcase jest domyślnie wyłączony, a wykorzystanie tej aplikacji na telefonie użytkownika wymaga zarówno fizycznego dostępu do urządzenia, jak i hasła użytkownika. Co więcej, producent nie stwierdził, by kiedykolwiek nastąpiła aktywna eksploatacja tej luki.
Niemniej problem jest, gdyż, po pierwsze, aplikacji nie można odinstalować standardowymi metodami. A po drugie skoro jest ona obowiązkowa na wszystkich urządzeniach z Androidem sprzedawanych przez Verizon, to dlaczego Google instaluje ją na każdym urządzeniu Pixel, skoro tylko bardzo niewielka liczba tych urządzeń potrzebuje pliku Showcase.apk?
Bezpieczeństwo systemu a preinstalowane aplikacje
To sprawia, że można nieco wątpić w politykę aktualizacji Google. Mimo 7 lat wsparcia w zakresie nowych wersji systemu i łatek bezpieczeństwa w obrębie systemu wciąż może być preinstalowanych wiele zbędnych aplikacji. Są one uciążliwe dla użytkowników, nie da się ich odinstalować lub usunąć, a dodatkowo najczęściej nie mają tak długiego wsparcia, jak daje Google. I, jak widać, mogą stanowić, choćby tylko teoretycznie, zagrożenie dla bezpieczeństwa. To chyba nie powinno tak wyglądać, nawet jeśli Google twierdzi, że zagrożenia nie ma…
Źródło: HackRead. Zdjęcie otwierające: Primakov / Shutterstock
Część odnośników to linki afiliacyjne lub linki do ofert naszych partnerów. Po kliknięciu możesz zapoznać się z ceną i dostępnością wybranego przez nas produktu – nie ponosisz żadnych kosztów, a jednocześnie wspierasz niezależność zespołu redakcyjnego.