Уязвимость приложения Showcase делает едва ли не все устройства Android Pixel мишенями для хакерских атак, давая киберпреступникам возможность внедрять вредоносный код.
Программное обеспечение Google для некоторых телефонов Android включает скрытую функцию, которая небезопасна и может быть активирована для удаленного управления или слежки за пользователями. Подробности сообщило издание The Washington Post.
По словам исследователей из компании iVerify, обнаруженная ими скрытая функция предоставляет сотрудникам магазинов, продающих телефоны Pixel и другие модели, полный доступ, чтобы они могли продемонстрировать, как работают устройства.
Google сообщила в комментарии The Washington Post, что выпустит обновление для удаления этой функции со всех поддерживаемых устройств Pixel, имеющихся на рынке, в предстоящем обновлении программного обеспечения Pixel, заявил представитель компании Эд Фернандес. Он сказал, что дистрибьюторы других телефонов Android также будут уведомлены об этом.
Функция о которой идет речь, является частью приложения под названием Showcase.apk. Оно обычно неактивно, но эксперты из iVerify смогли активировать его на своем устройстве. Они полагают, что опытные хакеры могут тоже включить его, даже находясь на расстоянии. Showcase.apk нельзя удалить с телефонов обычным способом.
Когда приложение активно, оно загружает инструкции с сайта, размещенного на Amazon Web Services и пытается подключиться к незащищенному веб-адресу, начинающемуся с "http" вместо более безопасного "https". Хакеры могут перехватить сигнал и выдать себя за этот сайт, отправив вместо инструкций шпионское ПО. Приложение загружает файл конфигурации через незащищенное соединение, и им можно манипулировать для выполнения кода на уровне системы, говорят в iVerify. Уязвимость этого приложения делает миллионы устройств Android Pixel мишенями для хакерских атак, давая киберпреступникам возможность внедрять вредоносный код.
Эд Фернандес заявил, что компания не заметила какого-либо взлома Showcase, и предположил, что это маловероятно. Программное обеспечение было создано для демонстрационных устройств Verizon, продаваемых в магазинах, и больше не используется, сказал он. Для эксплуатации этого приложения на телефоне пользователя требуется как физический доступ к устройству, так и пароль.
Эксперты по кибербезопасности говорят, что Android-смартфоны, производимые Samsung и другими компаниями, иногда отстают в установке обновлений безопасности, выпущенных Google. Они могут быть взломаны через найденную уязвимость.
В компании IVerify также сообщили, что приложение, судя по всему, было создано компанией Smith Micro Software (США, Пенсильвания), которая пишет пакеты программного обеспечения для инструментов удаленного доступа и родительского контроля. Smith Micro не прокомментировала этот инцидент.