Компания iVerify, занимающаяся кибербезопасностью, обнародовала новый отчет об уязвимости в смартфонах Google Pixel. Отмечается, что большинство таких телефонов, проданных с сентября 2017 года, включали ПО, которое можно использовать для слежки или удаленного управления устройствами пользователей.
Уязвимость была обнаружена после того, как сканер iVerify EDR обозначил незащищенное устройство Android в компании Palantir Technologies — клиенте iVerify. После начала совместного расследования iVerify, Palantir и Trail of Bits обнаружили скрытый пакет программного обеспечения Android — Showcase.apk — на устройствах Google Pixel. После этого Palantir, занимающаяся анализом данных, запретила устройства Android во всей компании.
Согласно отчету iVerify, программное обеспечение было разработано компанией Smith Micro Software и, похоже, было создано для Verizon для демонстрации в магазинах. Программа была неактивной по умолчанию и ее нужно было включить вручную.
«В активном состоянии Showcase.apk делает операционную систему доступной для хакеров и готовой для атак «человек посередине», внедрения кода и шпионского программного обеспечения», — говорится в отчете. «Влияние этой уязвимости значительно и может привести к потере данных на общую сумму в миллиарды долларов».
Представитель Google Эд Фернандес заявил, что это программное обеспечение было создано «для демонстрационных устройств Verizon в магазинах и больше не используется». Он добавил, что Google «не видит никаких доказательств какой-либо активной эксплуатации» этой уязвимости.
iVerify сообщила Google о своей находке в начале мая. Компания публично не обнародовала уязвимость и не выпустила обновление программного обеспечения для устранения проблемы. «В ближайшие недели» планируется удалить это приложение со всех устройств Pixel.
Источник: The Verge