Zielony robot Android na tle grafiki z kłódką.

7-letnia luka w zabezpieczeniach smartfonów Google Pixel. Winna preinstalowana aplikacja

2 minuty czytania
Komentarze

Aplikacja Showcase, stworzona przez Smith Micro dla Verizon, miała służyć do prezentowania telefonów w sklepach. Od 7 lat preinstalowana była w smartfonach Google Pixel. I dopiero teraz okazało się, że zawiera poważną lukę w zabezpieczeniach umożliwiającą zdalne wykonanie kodu i przejęcie kontroli nad urządzeniem. Co na to Google?

Luka w zabezpieczeniach, aplikacja Google Pixel. Ludzik Androida wychodzi z ekranu smartfona, w tle agresywny wirus komputerowy, stylizacja nawiązująca do cyberbezpieczeństwa, scena przedstawia ryzyko jakie niesie malware także na smartfonach.
Fot. obraz wygenerowany za pomocą DALLE-3

Preinstalowana aplikacja z backdoorem

Badacze z Iverify odkryli krytyczną lukę w zabezpieczeniach, która czaiła się w urządzeniach Pixel od 2017 r., potencjalnie narażając na ryzyko miliony użytkowników smartfonów Google Pixel. Jej źródłem okazała się aplikacja Showcase.apk, zaprojektowana dla Verizon przez Smith Micro, amerykańską firmę programistyczną. Ma służyć do przekształcania Pixeli w urządzenia demonstracyjne, jednak zawiera zaszyty w kodzie backdoor, który daje atakującym sposób na włamanie się do urządzenia.

Przez rzeczoną aplikację ​​system operacyjny jest podatny na ataki hakerów, umożliwiając ataki typu man-in-the-middle, wstrzykiwanie kodu czy instalowanie oprogramowania szpiegującego. Co więcej, aplikacja pobierała pliki konfiguracyjne przez niezabezpieczone połączenie HTTP.

Sklep Verizon z dużym napisem "5G built right for NYC" na witrynie. Przed sklepem ludzie przechodzą obok wejścia do metra Subway-PATH. W tle widoczne inne sklepy.
Fot. rblfmr / Shutterstock

Google bagatelizuje problem?

Według Google opisywany problem nie dotyczy systemów zabezpieczenia platformy Android ani Pixel, jest to bowiem aplikacja opracowana przez Smith Micro dla urządzeń demonstracyjnych Verizon w sklepach. Showcase jest domyślnie wyłączony, a wykorzystanie tej aplikacji na telefonie użytkownika wymaga zarówno fizycznego dostępu do urządzenia, jak i hasła użytkownika. Co więcej, producent nie stwierdził, by kiedykolwiek nastąpiła aktywna eksploatacja tej luki.

Niemniej problem jest, gdyż, po pierwsze, aplikacji  nie można odinstalować standardowymi metodami. A po drugie skoro jest ona obowiązkowa na wszystkich urządzeniach z Androidem sprzedawanych przez Verizon, to dlaczego Google instaluje ją na każdym urządzeniu Pixel, skoro tylko bardzo niewielka liczba tych urządzeń potrzebuje pliku Showcase.apk?

Bezpieczeństwo systemu a preinstalowane aplikacje

Google Pixel 9 Pro w różnych kolorach, z funkcjami takimi jak 24+ godziny pracy baterii, Metalowa Ramka, Magic Editing, SOS Satelita, najwyższej jakości wideo, Pro potrójny aparat z tyłu i wyświetlacz.
Fot. Google / materiały prasowe

To sprawia, że można nieco wątpić w politykę aktualizacji Google. Mimo 7 lat wsparcia w zakresie nowych wersji systemu i łatek bezpieczeństwa w obrębie systemu wciąż może być preinstalowanych wiele zbędnych aplikacji. Są one uciążliwe dla użytkowników, nie da się ich odinstalować lub usunąć, a dodatkowo najczęściej nie mają tak długiego wsparcia, jak daje Google. I, jak widać, mogą stanowić, choćby tylko teoretycznie, zagrożenie dla bezpieczeństwa. To chyba nie powinno tak wyglądać, nawet jeśli Google twierdzi, że zagrożenia nie ma…

Źródło: HackRead. Zdjęcie otwierające: Primakov / Shutterstock

Część odnośników to linki afiliacyjne lub linki do ofert naszych partnerów. Po kliknięciu możesz zapoznać się z ceną i dostępnością wybranego przez nas produktu – nie ponosisz żadnych kosztów, a jednocześnie wspierasz niezależność zespołu redakcyjnego.

Motyw