Google’s Pixel смартфоны всегда позиционировались как устройства с высокой степенью безопасности, обещая пользователям семь лет гарантированных обновлений программного обеспечения и упрощенный опыт без сторонних дополнений и ненужных приложений. Однако недавнее открытие компании iVerify, занимающейся безопасностью мобильных устройств, поставило под сомнение эту репутацию. Исследователи готовятся опубликовать данные о уязвимости, которая, как сообщается, существовала во всех версиях Android для устройств Pixel с сентября 2017 года, потенциально оставляя их уязвимыми для манипуляций и захвата.
Уязвимость Showcase.apk
Уязвимость связана с программным пакетом под названием “Showcase.apk”, который работает на системном уровне и остается незаметным для пользователей. Это приложение, созданное компанией Smith Micro для Verizon, предназначалось для включения телефонов в демонстрационный режим в розничных магазинах. Примечательно, что оно не является продуктом Google. Несмотря на это, оно было включено в каждую версию Android для устройств Pixel, обладая обширными системными привилегиями, включая удаленное выполнение кода и возможность удаленной установки программного обеспечения. Тревожно, что Showcase загружает конфигурационные файлы через незашифрованное HTTP-соединение, что может быть использовано злоумышленниками для захвата контроля над приложением и, следовательно, всем устройством.
iVerify сообщила о своих находках Google в начале мая, но исправление пока не выпущено. Представитель Google Эд Фернандес заявил, что Showcase “больше не используется” Verizon и заверил, что обновление для удаления приложения со всех поддерживаемых устройств Pixel будет выпущено в ближайшее время. Он также отметил, что нет доказательств активной эксплуатации и подтвердил отсутствие приложения в недавно анонсированной серии Pixel 9.
Рокки Коул, главный операционный директор iVerify и бывший аналитик АНБ, выразил обеспокоенность уникальной природой этой уязвимости. “Когда запускается Showcase.apk, оно может захватить контроль над телефоном. Но код, честно говоря, некачественный,” заметил он. Коул задал вопросы о тестировании стороннего программного обеспечения с такими высокими привилегиями, встроенного глубоко в операционную систему, предполагая, что Google могла непреднамеренно внедрить ненужные приложения в устройства Pixel по всему миру.
Обнаружение Showcase.apk произошло, когда сканер угроз iVerify выявил необычную проверку приложения Google Play Store на устройстве пользователя. Этот пользователь, Palantir—компания по аналитике больших данных—сотрудничала с iVerify для расследования приложения и последующего информирования Google о своих находках. Дэйн Стаки, главный информационный директор Palantir, отметил, что медленный и непрозрачный ответ от Google привел компанию к решению отказаться не только от телефонов Pixel, но и от всех устройств на Android.
“Внедрение Google стороннего программного обеспечения в прошивку Android без раскрытия информации создает значительные уязвимости безопасности для всех, кто полагается на эту экосистему,” заявил Стаки. Он также подчеркнул, что взаимодействие с Google в течение стандартного 90-дневного периода раскрытия информации серьезно подорвало их доверие к платформе, что привело к решению перейти на другие устройства для корпоративного использования.
Хотя Маттиас Фрилингсдорф из iVerify признал тревожный характер уязвимости Showcase, он отметил, что приложение по умолчанию отключено. Это означает, что злоумышленнику потребуется физический доступ к устройству жертвы вместе с системным паролем или другой эксплуатируемой уязвимостью для активации приложения. Фернандес поддержал это мнение, подчеркнув, что физический доступ ограничивает потенциальную опасность этой уязвимости.
Фрилингсдорф также отметил, что хотя риск в настоящее время ограничен, если будет обнаружен четкий метод удаленной активации, это может представлять значительную угрозу для миллионов устройств. Он указал на то, что iVerify удерживает определенные технические детали до тех пор, пока Google не внедрит исправление.