Критична вразливість на Google Pixel: прихований додаток Showcase.apk ставить під загрозу безпеку Android
Вразливість, що міститься в кожній версії Android для попередніх моделей Google Pixel, незабаром буде виправлена, але покупцям Pixel 9 не варто хвилюватися.
Останні новини: Microsoft проведе конференцію з безпеки після глобального збою CrowdStrike
Більшість смартфонів Google Pixel, проданих з вересня 2017 року, містили потенційно небезпечний фрагмент коду в прихованому додатку. За допомогою якого зловмисник може отримати значний доступ до пристрою.
Дослідники безпеки з iVerify виявили проблему, коли сканер виявлення загроз виявив дивну перевірку додатка Google Play Маркет на пристрої, яким користувався хтось зі співробітників Palantir. Wired повідомляє, що iVerify і Palantir працювали разом, щоб знайти проблему і повідомити про неї Google.
Проблема пов’язана зі стороннім пакетом для Android під назвою Showcase.apk. Його розробила компанія Smith Micro, щоб допомогти Verizon перевести телефони магазинів у режим роздрібної демонстрації.
Однак додаток має привілеї, включаючи віддалене виконання коду та віддалене встановлення програмного забезпечення, що може бути небезпечним, якщо ним скористається зловмисник.
Він також має можливість завантажувати файл конфігурації через незашифроване HTTP-з’єднання. Це небезпечно, оскільки це може бути вектором для зловмисника, щоб викрасти програмне забезпечення і використовувати його для власних цілей.
Хоча Showcase більше не використовується Verizon, APK все ще був включений до збірок Android на смартфонах Google Pixel.
Попри те, що про це стало відомо на початку травня, Google ще не виправила проблему, але має намір закрити діру в безпеці. APK не присутній в жодному з пристроїв Pixel 9, і Google заявляє, що він буде видалений з усіх підтримуваних пристроїв Pixel з оновленням програмного забезпечення протягом декількох тижнів.
Однак, хоча Google, можливо, знаходиться в процесі розв’язування проблеми, iVerify вважає, що додаток Showcase міг бути вбудований і на інших пристроях Android. Google повідомила, що про всяк випадок вона також сповіщає інших виробників Android.
Проблема з Showcase.apk демонструє проблеми, пов’язані з включенням сторонніх додатків або програмного забезпечення у випуск операційної системи. Він також показує, що старий код все ще може бути включений, навіть якщо він активно не використовується, і все ще може бути вектором атаки.
Пристрої Android також часто продаються з низкою попередньо встановлених додатків, або “роздутих програм”, на які часто скаржаться, що вони є непотрібними та часто займають багато місця в пам’яті.
На противагу цьому, Apple припинила включати сторонні додатки у версії iOS та iPadOS, які вона встановлює на iPhone та iPad. Вона включала додаток YouTube як попередньо встановлений додаток, але його було видалено в iOS 6, оскільки Google постачає і безпосередньо керує випуском своїх власних додатків.
[🔗Джерело: AppleInsider]
