Приложение Showcase.apk в прошивке смартфонов Google Pixel делает операционную систему уязвимой для атак «человек посередине», внедрения вредоносного кода и установки шпионского программного обеспечения, показало расследование компании в сфере кибербезопасности iVerify, проведённого совместно с Palantir и Trail of Bits.
Обширное влияние этой уязвимости способно привести к утечкам данных на общую сумму в миллиарды долларов, отмечают исследователи. Google получила подробный отчёт iVerify о проблеме после 90-дневного процесса раскрытия информации.
В ИБ-компании не знают, когда Google выпустит исправление или удалит это ПО с телефонов, чтобы снизить потенциальные риски.
Пакет Showcase.apk разработала компания Smith Micro, предоставляющая программные пакеты для удалённого доступа, родительского контроля и инструментов очистки данных. Smith Micro, вероятно, создала этот пакет для повышения продаж Pixel и других Android-смартфонов в магазинах Verizon. Приложение в составе прошивки работает на системном уровне.
Пакет приложений предназначен для получения файла конфигурации по незащищённому HTTP. Он позволяет приложению выполнять системные команды, которые могут открыть бэкдор, что позволяет злоумышленника легко скомпрометировать устройство. Поскольку Showcase.apk изначально не вредоносно, большинство технологий безопасности могут пропустить приложение и не пометить как опасное.
Приложение установлено на системном уровне как часть прошивки, поэтому ПО нельзя удалить на пользовательском уровне.
Showcase.apk используется для превращения смартфона в демонстрационное устройство, что в корне меняет способ работы ОС. Примечательно, что приложение работает в высоко привилегированном контексте, который не нужен для предполагаемой цели применения.
Представитель Google Эд Фернандес подтвердил, что это ПО было создано для демонстрационных устройств в магазинах Verizon и «больше нигде не используется». Он добавил, что корпорация не обнаружила никаких доказательств активной эксплуатации Showcase.apk.
Фернандес заявил, что Google удалит проблемное приложение со всех устройств Pixel в ближайшие недели.
В iVerify подчеркнули, что подобные инциденты требуют большей прозрачности и обсуждения вопроса запуска сторонних приложений как части ОС. Это также демонстрирует необходимость обеспечения качества и тестирования на проникновение для обеспечения безопасности сторонних приложений, установленных на миллионы устройств.
Источник: habr.com