Новый отчет показывает, что на многих телефонах Google Pixel, проданных за последние несколько лет, установлено приложение «Showcase», которое оставляет открытой тревожную дыру в безопасности, но скоро она будет устранена.
«Showcase» — это APK, который предустановлен на устройствах Google уже много лет и затрагивает почти все телефоны Pixel. Приложение было разработано Smith Micro для Verizon и использовалось для запуска розничного режима на устройстве. Однако приложение предустановлено (вне досягаемости пользователя) «в каждом выпуске Android для Pixel», как сообщает WIRED.
Утверждается, что «Showcase» обладает расширенными системными привилегиями, включая возможность удаленной установки программного обеспечения или выполнения кода. Приложение предназначено для загрузки конфигурационного файла, что, по-видимому, происходит через незашифрованное HTTP-соединение, уязвимое для перехвата. Это главный страх, связанный с этим приложением. Глубокие привилегии, которыми «Showcase» обладает в Android на устройствах Pixel, могут открыть устройства для контроля злоумышленником через привилегии приложения.
iVerify, фирма, обнаружившая уязвимость, сообщила о своих выводах Google в мае и описала проблему как «уникальную в нескольких отношениях и весьма тревожную».
Для конечных пользователей уровень риска здесь кажется минимальным. Хотя приложение предустановлено на устройствах Pixel, по умолчанию оно отключено и требует физического доступа к устройству (и пароля) для его включения. И, согласно нашим краткому тестированию, легкого доступа к приложению нет.
Google также признала уязвимость и подтвердила, что «Showcase» будет удален с устройств Pixel «в ближайшие недели». Google также подтвердила, что приложение больше не используется Verizon или Google, и нет никаких свидетельств активной эксплуатации уязвимости.
Серия Pixel 9 поставляется без установленного «Showcase».
Уязвимость была обнаружена iVerify от имени Palantir, компании, занимающейся анализом данных. Однако реакция Google на проблему была сочтена «медленной» и «непрозрачной», что привело к тому, что Palantir отказалась от устройств Pixel и устройств Android в целом в своей компании. Главный специалист по информационной безопасности Palantir заявил, что реакция Google и тот факт, что приложение не было раскрыто изначально, «серьезно подорвали наше доверие к экосистеме».
Неясно, установлено ли «Showcase» на других устройствах Android, но Google, по-видимому, «уведомляет других производителей Android».
Точной даты удаления «Showcase» со всех «поддерживаемых» устройств Pixel нет, но, скорее всего, это произойдет в рамках предстоящих обновлений безопасности.