Обнаружена серьезная уязвимость в системе безопасности устройств Google Pixel, которая подвергает риску миллионы смартфонов. Исследователи из компании iVerify, специализирующейся на мобильной безопасности, обнаружили, что предустановленное приложение «Showcase.apk», присутствующее на устройствах Pixel с сентября 2017 года, обладает «чрезмерными системными привилегиями».
Этот недостаток позволяет приложению удаленно выполнять код и устанавливать пакеты без должных мер безопасности. Приложение, разработанное Smith Micro и являющееся частью образа прошивки, подключается к файлу конфигурации по незащищенному протоколу HTTP, что делает устройства уязвимыми для атак типа MITM. Злоумышленники могут использовать эту слабость для внедрения вредоносного кода, получения контроля на системном уровне и «потенциального совершения киберпреступлений», пишут исследователи.
Хотя приложение не включено по умолчанию, его можно активировать различными способами, включая физический доступ к устройству. Уязвимость возникает из-за «неадекватных процессов аутентификации и верификации при получении файла конфигурации», что позволяет злоумышленникам обойти проверки безопасности.
Google признала проблему, заявив, что это не недостаток системы Android или Pixel, а скорее «проблема со сторонним приложением». Компания планирует устранить уязвимость, удалив приложение со всех поддерживаемых устройств Pixel через предстоящее обновление.