Исследователи из компании iVerify, специализирующейся на безопасности мобильных устройств, выявили значительную уязвимость в устройствах Pixel. Эта уязвимость связана с скрытым Android-приложением, которое присутствует на устройствах Pixel с 2017 года. Проблема стала очевидной, когда программное обеспечение безопасности iVerify обнаружило необычную активность на устройстве, принадлежащем аналитической компании Palantir.
Совместное расследование
В ходе совместного расследования iVerify, Palantir и Trail of Bits источник аномалии был отслежен до предустановленного Android-программного пакета под названием "Showcase.apk". Это приложение, разработанное компанией Smith Micro для Verizon, изначально предназначалось для перевода телефонов в демонстрационный режим в розничных магазинах. Однако оно было встроено в каждую версию Android для телефонов Pixel с 2017 года и обладало обширными системными привилегиями, позволяющими выполнять удаленный код и устанавливать программное обеспечение без согласия пользователя.
Хотя приложение по умолчанию отключено, его можно активировать через атаку, создавая потенциальную "черную дверь" для злоумышленников. Более того, приложение получает конфигурационные файлы через незашифрованное HTTP-соединение, что является критическим упущением и может позволить атакующим захватить приложение и получить неограниченный доступ к целевому устройству.
Реакция Google и последствия
Несмотря на то что Google был проинформирован об этой уязвимости в мае, компания до сих пор не выпустила патч. Технологический гигант утверждает, что приложение больше не используется Verizon и будет удалено со всех поддерживаемых устройств Pixel в ближайшее время. Однако эта задержка вызвала беспокойство среди экспертов по безопасности.
"Я сталкивался с многочисленными уязвимостями Android, но эта выделяется по нескольким тревожным причинам," отметил Рокки Коул, главный операционный директор iVerify, в интервью Wired. "Это вызывает серьезные вопросы о том, почему стороннее программное обеспечение с такими высокими привилегиями не подвергалось более тщательному тестированию. Похоже, что Google заполняет устройства Pixel ненужными программами по всему миру."
В результате этого открытия Palantir решила полностью отказаться от использования устройств на базе Android, ссылаясь на уязвимость и медленную реакцию Google как основные причины. Дейн Стаки, директор по информационной безопасности Palantir, выразил: "Google внедряет стороннее программное обеспечение в прошивку Android без уведомления поставщиков или пользователей, что представляет значительный риск безопасности для всех, кто полагается на эту экосистему."
Необходимость прозрачности и тестирования
Исследователи iVerify решили не разглашать конкретные технические детали, чтобы предотвратить использование уязвимости злоумышленниками до выпуска патча. Google признала проблему, уточнив, что программное обеспечение изначально предназначалось для магазинов Verizon и больше не используется. Компания заверила общественность, что нет доказательств активной эксплуатации этой уязвимости и что она не затрагивает недавно выпущенную серию Pixel 9.
Эта уязвимость вызвала более широкую дискуссию о последствиях предустановленного программного обеспечения и критической необходимости своевременного исправления уязвимостей. iVerify отметила: "Обнаружение Showcase.apk наряду с другими громкими инцидентами, такими как использование сторонних расширений ядра в Microsoft Windows, подчеркивает необходимость большей прозрачности и обсуждения сторонних приложений, интегрированных в операционные системы. Это также подчеркивает срочную необходимость обеспечения качества и тестирования на проникновение для защиты сторонних приложений, установленных на миллионах устройств."