Уразливість додатка Showcase робить чи не всі пристрої Android Pixel мішенями для хакерських атак, даючи кіберзлочинцям можливість впроваджувати шкідливий код.
Програмне забезпечення Google для деяких телефонів Android містить приховану функцію, яка небезпечна і може бути активована для віддаленого управління або стеження за користувачами. Подробиці повідомило видання The Washington Post.
За словами дослідників з компанії iVerify, виявлена ними прихована функція надає співробітникам магазинів, що продають телефони Pixel та інші моделі, повний доступ, щоб вони могли продемонструвати, як працюють пристрої.
Google повідомила в коментарі The Washington Post, що випустить оновлення для видалення цієї функції з усіх підтримуваних пристроїв Pixel, наявних на ринку, у майбутньому оновленні програмного забезпечення Pixel, заявив представник компанії Ед Фернандес. Він сказав, що дистриб'ютори інших телефонів Android також будуть повідомлені про це.
Функція, про яку йдеться, є частиною програми під назвою Showcase.apk. Він зазвичай неактивний, але експерти з iVerify змогли активувати його на своєму пристрої. Вони вважають, що досвідчені хакери можуть теж увімкнути його, навіть перебуваючи на відстані. Showcase.apk не можна видалити з телефонів звичайним способом.
Коли застосунок активний, він завантажує інструкції з сайту, розміщеного на Amazon Web Services, і намагається під'єднатися до незахищеної веб-адреси, що починається з "http" замість безпечнішого "https". Хакери можуть перехопити сигнал і видати себе за цей сайт, надіславши замість інструкцій шпигунське ПЗ. Додаток завантажує файл конфігурації через незахищене з'єднання, і ним можна маніпулювати для виконання коду на рівні системи, кажуть в iVerify. Уразливість цього додатка робить мільйони пристроїв Android Pixel мішенями для хакерських атак, даючи кіберзлочинцям можливість впроваджувати шкідливий код.
Ед Фернандес заявив, що компанія не помітила будь-якого злому Showcase, і припустив, що це малоймовірно. Програмне забезпечення було створено для демонстраційних пристроїв Verizon, що продаються в магазинах, і більше не використовується, сказав він. Для експлуатації цього додатка на телефоні користувача потрібен як фізичний доступ до пристрою, так і пароль.
Експерти з кібербезпеки кажуть, що Android-смартфони, вироблені Samsung та іншими компаніями, іноді відстають в установці оновлень безпеки, випущених Google. Вони можуть бути зламані через знайдену вразливість.
У компанії IVerify також повідомили, що застосунок, з огляду на все, було створено компанією Smith Micro Software (США, Пенсільванія), яка пише пакети програмного забезпечення для інструментів віддаленого доступу та батьківського контролю. Smith Micro не прокоментувала цей інцидент.