Компания Google закрывает серьёзную уязвимость прошивки своих смартфонов Pixel, которые поступали в продажу с 2017 года. Пакет приложений под названием Showcase.apk обладает многочисленными системными привилегиями. Среднестатистический пользователь с этим пакетом напрямую не взаимодействует, зато злоумышленник может нанести с его помощью серьёзный урон.
Уязвимость даёт киберпреступникам доступ к операционной системе и проведению атак типа «человек посередине». У них появляется возможность внедрять вредоносное программное обеспечение и устанавливать шпионские программы. Дистанционно можно выполнять код и устанавливать пакеты.
Особо беспокоит тот факт, что устанавливать вредоносные программы можно без физического доступа к устройству. Это открывает путь к краже персональных данных и денег.
Showcase.apk через незащищённое подключение HTTP скачивает конфигурационные файлы, что упрощает работу хакеров. Пользователи не могут самостоятельно удалить этот пакет.
Обнаружившие эту уязвимость специалисты поставили Google в известность за 90 дней до публичного оглашения. Тем временем, одно из уязвимых устройств активно используется в аналитической компании Palantir Technologies. Недавно она получила от Министерства обороны США контракт на сумму $500 млн на разработку систем компьютерного зрения для армии.
Проблема кроется не в самом приложении, а в скачивании конфигурационных файлов. Например, браузер Google Chrome предупреждает пользователей при каждом посещении веб-сайтов с протоколом HTTP вместо более защищённого подключения HTTPS.
Представитель Google сообщил, что данный пакет больше не используется, и для его эксплуатации на устройстве нужен физический доступ и знание пользовательского пароля. Тем не менее, на всякий случай, обновление программного обеспечения удалит этот пакет с поддерживаемых устройств. На аппаратах Pixel 9 данная проблема отсутствует.
Рассматриваемое приложение разработала компания Smith Micro для телекоммуникационного гиганта Verizon, чтобы переводить аппараты в демонстрационный режим для показа в розничных магазинах. Поскольку программа не содержит вредоносного кода, антивирусы не могут поднять тревогу.
Специалисты ставят объяснение Google под сомнение. Они задаются вопросом, зачем программа, предназначенная для демонстрации в магазинах Verizon, находится на всех аппаратах Pixel, а не только на тех, которые продаются этим оператором.
Пока доказательства использования уязвимости Showcase.apk на практике отсутствуют.
