Google объявила о планах удалить встроенное приложение из линейки телефонов Pixel после того, как подрядчик по разведке Palantir и фирма мобильной безопасности iVerify выразили обеспокоенность по поводу значительной уязвимости в программном обеспечении. Приложение, известное как Showcase.apk, было разработано для помощи сотрудникам в демонстрации функций телефонов Pixel. Однако при активации оно подключается к сайту Amazon Web Services, используя менее безопасный протокол HTTP, что делает его уязвимым для потенциальных хакерских атак.
Подробности уязвимости
Уязвимость была выявлена в отчете, выпущенном iVerify, который был поддержан Palantir и компанией по безопасности Trail of Bits. Palantir утверждает, что уведомила Google о проблеме более 90 дней назад, но опасения не были должным образом учтены, что побудило компанию прекратить выдачу Android-телефонов своим сотрудникам из-за опасений по поводу безопасности.
В заявлении для CNET Google уточнила, что Showcase.apk было разработано третьей стороной, Smith Micro для Verizon, и подчеркнула, что это не является уязвимостью в Android или устройствах Pixel, так как приложение предназначалось исключительно для использования в магазинах. Компания подтвердила, что приложение будет удалено со всех поддерживаемых устройств Pixel в предстоящем обновлении программного обеспечения, отметив, что оно отсутствует на последних моделях Pixel 9.
Представитель Google заверил пользователей, заявив: «Эксплуатация этого приложения на пользовательском телефоне требует как физического доступа к устройству, так и пароля пользователя. Мы не видели никаких доказательств активной эксплуатации». Тем не менее, компания принимает меры предосторожности для удаления приложения с своих устройств и уведомляет других производителей оригинального оборудования Android (OEM) о ситуации.
Последствия для корпоративной безопасности
Время этого объявления совпадает с запуском новой линейки телефонов Pixel на мероприятии Made by Google в Маунтин-Вью, Калифорния, где компания продемонстрировала свои последние аппаратные и AI-функции. Рокки Коул, соучредитель и главный операционный директор iVerify, выразил обеспокоенность по поводу последствий этой уязвимости для корпоративных сред, заявив: «Google фактически ставит CISOs перед невозможным выбором: принять небезопасное программное обеспечение или полностью запретить Android».
iVerify указала, что приложение Showcase встроено в прошивку телефонов Pixel и не может быть удалено пользователями. Кроме того, могут существовать потенциальные риски для не-Pixel Android-устройств, выданных Verizon, которые также содержат это приложение. Представитель Verizon подтвердил, что эта возможность больше не используется в магазинах и недоступна для потребителей, добавив: «Мы не видели никаких доказательств эксплуатации этого».
Google указала, что обновление для удаления приложения будет выпущено в ближайшие недели, хотя конкретные инструкции для пользователей о том, как защитить свои устройства в промежуточный период, не были предоставлены, за исключением общего совета держать устройства в безопасности от несанкционированного физического доступа.