Обнаружены проблемы безопасности устройств Google Pixel
Важное открытие было сделано в отношении части устройств Google Pixel, которые находятся в обращении с сентября 2017 года. Исследование, проведенное мобильной компанией безопасности iVerify, выявило, что эти устройства содержат спящий программный компонент, способный способствовать злонамеренным атакам и развертыванию различных форм вредоносного ПО.
Основное внимание уделяется Android-приложению под названием "Showcase.apk". Это приложение обладает обширными системными привилегиями, позволяя удаленно выполнять код и устанавливать произвольные пакеты на устройство. Согласно анализу, проведенному в сотрудничестве с Palantir Technologies и Trail of Bits, приложение загружает конфигурационный файл через незащищенное соединение, что вызывает серьезные опасения по поводу безопасности.
Конкретно, приложение загружает свою конфигурацию с одного домена, размещенного на AWS в США, через незащищенный HTTP. Эта уязвимость не только подвергает конфигурационный файл опасности, но и оставляет устройство открытым для потенциальной эксплуатации.
Дальнейшее расследование идентифицирует приложение как Verizon Retail Demo Mode ("com.customermobile.preload.vzw"), которое требует почти три десятка разрешений, включая доступ к местоположению и внешнему хранилищу. Интересно, что обсуждения на таких платформах, как Reddit и XDA Forums, указывают на то, что этот пакет существует с августа 2016 года.
Суть проблемы безопасности заключается в зависимости приложения от незашифрованного HTTP-соединения для загрузки конфигурационного файла, вместо использования более безопасного протокола HTTPS. Этот недосмотр создает возможность для злоумышленников манипулировать файлом во время его передачи на целевое устройство. К счастью, в настоящее время нет доказательств того, что эта уязвимость была использована в дикой природе.
Важно уточнить, что Showcase.apk не является продуктом Google; скорее, он разработан компанией Smith Micro, занимающейся корпоративным программным обеспечением, специально для демонстрационных целей. Причины встраивания стороннего программного обеспечения непосредственно в прошивку Android остаются неясными. Однако представитель Google заявил, что приложение является обязательным требованием Verizon для всех устройств Android.
Эта ситуация в конечном итоге делает смартфоны Android Pixel уязвимыми для атак типа "злоумышленник посередине" (AitM), которые могут позволить злоумышленникам внедрять вредоносный код и шпионское ПО. Приложение работает с повышенными привилегиями на системном уровне, однако оно не аутентифицирует и не проверяет домен, с которого загружает конфигурационный файл. Кроме того, оно использует небезопасную инициализацию переменных по умолчанию при проверке сертификатов и подписей, что приводит к успешным проверкам несмотря на сбои.
Несмотря на серьезность этих недостатков, риск несколько смягчается тем фактом, что приложение не активировано по умолчанию. Однако если злоумышленник получит физический доступ к устройству с включенным режимом разработчика, он сможет потенциально использовать эту уязвимость.
iVerify отметила, что поскольку приложение не является по своей природе вредоносным, традиционные технологии безопасности могут его не заметить и не распознать как угрозу. Более того, будучи установленным на системном уровне как часть образа прошивки, пользователи не могут его удалить.
В заявлении для The Hacker News Google уточнила, что эта проблема не представляет собой уязвимость в платформе Android или устройствах Pixel как таковых, а относится к пакету, разработанному для демонстрационных устройств Verizon. Компания также отметила, что приложение больше не используется.