Google исправляет серьезную уязвимость на уровне прошивки, которая присутствовала на миллионах смартфонов Pixel, проданных по всему миру с 2017 года. «Из предосторожности мы устраним эту проблему на всех поддерживаемых устройствах Pixel в ближайшем обновлении программного обеспечения Pixel», - сообщила компания изданию The Washington Post.
Суть проблемы заключается в пакете приложений под названием Showcase.apk, который является элементом прошивки Android, имеющим доступ к множеству системных привилегий. Обычно рядовой пользователь смартфона не может включить его или напрямую взаимодействовать с ним, но исследование iVerify доказало, что злоумышленник может использовать его для нанесения серьезного ущерба.
Уязвимость делает операционную систему доступной для киберпреступников, чтобы совершать атаки типа «человек посередине», внедрять вредоносные программы и устанавливать шпионское ПО», - говорится в сообщении компании. Специалисты по безопасности обнаружили, что дефект открывает двери для удаленного выполнения кода и удаленной установки пакетов.
Это означает, что злоумышленник может установить вредоносное ПО на целевое устройство, не имея к нему физического доступа. Впоследствии киберпреступники могут совершать различные атаки в зависимости от внедренного вредоносного ПО, включая, в частности, кражу конфиденциальных данных или захват системы.
Суть проблемы заключается в том, что Showcase.apk загружает конфигурационные активы через незащищенное HTTP-соединение, что делает его уязвимым для злоумышленников. Еще страшнее то, что пользователи не могут напрямую удалить его, как они могут удалить другие приложения, хранящиеся на их телефонах.
Очень пиксельная проблема
Как же так получилось, что во всей этой истории участвует именно Google Pixel, а не любой другой Android-телефон на планете? Пакет Showcase.apk предустановлен в прошивке Pixel, а также является основным компонентом OTA-образов, которые Google публично выпускает для установки обновлений ПО - особенно на ранних этапах разработки.
iVerify отмечает, что хакер может активировать пакет несколькими способами, даже если он не активен по умолчанию. Google может серьезно пострадать от разоблачений по целому ряду причин.
Во-первых, iVerify утверждает, что уведомила Google о своем тревожном открытии за 90 дней до публикации, но Google не сообщила, когда именно будет устранен дефект, оставив под угрозой миллионы устройств Pixel, проданных по всему миру. Во-вторых, одно из устройств, отмеченных как незащищенные, активно использовалось в Palantir Technologies, аналитической компании, недавно получившей контракт стоимостью около полумиллиарда долларов от Министерства обороны США на создание систем компьютерного зрения для американской армии.
Чтобы было понятно, проблема не в самом файле Showcase.apk. А в том, что он загружает конфигурационные файлы через незащищенное HTTP-соединение, что было сочтено открытым приглашением для хакеров. Чтобы дать вам представление об угрозе, браузер Google Chrome предупреждает пользователей каждый раз, когда они посещают сайт, использующий старый протокол HTTP вместо более безопасной архитектуры HTTPS.
После публикации этой статьи представитель Google прислал в редакцию Digital Trends следующее заявление с просьбой прояснить ситуацию:
«Это не уязвимость платформы Android или Pixel, это APK, разработанный компанией Smith Micro для демонстрационных устройств Verizon в магазине, и он больше не используется. Для эксплуатации этого приложения на телефоне пользователя требуется физический доступ к устройству и пароль пользователя. Мы не видели никаких свидетельств активной эксплуатации. Из соображений предосторожности мы удалим это приложение со всех поддерживаемых устройств Pixel в ближайшем обновлении программного обеспечения Pixel. Приложение отсутствует на устройствах серии Pixel 9. Мы также уведомляем других [производителей] Android».
Это серьезно
Независимо от средства угрозы, неприятности Google могут возникнуть из-за того, что смартфоны Pixel, находящиеся в зоне риска, активно использовались оборонным подрядчиком, что теоретически может поставить под угрозу национальную безопасность. Нетрудно догадаться, почему.
Просто посмотрите, как TikTok был запрещен для федеральных служащих в нескольких штатах, ссылаясь на аналогичные соображения национальной безопасности. «Это действительно очень тревожно. Пиксели должны быть чистыми. На телефонах Pixel установлено множество защитных устройств», - сказал The Post Дейн Стаки, директор по информационной безопасности компании Palantir.
Приложение было создано компанией Smith Micro для телекоммуникационного гиганта Verizon, чтобы переводить телефоны в демонстрационный режим для розничных магазинов. Более того, поскольку само приложение не содержит вредоносного кода, антивирусным программам практически невозможно отметить его как таковое. Google же утверждает, что для использования дефекта потребуется физический доступ и знание пароля телефона.
iVerify, однако, также вызывает вопросы относительно широкого распространения приложения. Если оно было разработано для демонстрационных устройств по заказу Verizon, почему пакет был частью прошивки Pixel на устройствах, а не только на тех, которые предназначались для оператора?
После аудита безопасности компания Palantir фактически удалила все устройства на базе Android из своего парка и перешла исключительно на iPhone, и этот переход будет завершен в ближайшие несколько лет. К счастью, пока нет никаких свидетельств того, что уязвимость Showcase.apk была использована злоумышленниками.
Если вам понравилась эта статья, подпишитесь на нее, чтобы не пропустить новые полезные статьи!
Вы также можете читать меня в:
- Telegram: https://t.me/gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru
