Голям процент от собствените устройства Pixel на Google, доставени в световен мащаб от септември 2017 г. насам, са включвали неактивен софтуер, който може да се използва за организиране на злонамерени атаки и доставяне на различни видове зловреден софтуер.
Проблемът се проявява под формата на предварително инсталирано приложение за Android, наречено „Showcase.apk“, което идва с прекомерни системни привилегии, включително възможност за отдалечено изпълнение на код и инсталиране на произволни пакети на устройството, според фирмата за мобилна сигурност iVerify.
„Приложението изтегля конфигурационен файл през незащитена връзка и може да бъде манипулирано, за да изпълнява код на системно ниво“, се казва в анализ, публикуван съвместно с Palantir Technologies и Trail of Bits.
„Приложението извлича конфигурационния файл от един-единствен домейн, базиран в САЩ и хостван в AWS, по незащитена HTTP връзка, което оставя конфигурацията уязвима и може да направи устройството уязвимо.“
Въпросното приложение се нарича Verizon Retail Demo Mode („com.customermobile.preload.vzw“), което изисква близо три дузини различни разрешения въз основа на артефакти, качени във VirusTotal по-рано този февруари, включително местоположение и външно съхранение. Публикациите в Reddit и XDA Forums показват, че пакетът съществува от август 2016 г. насам.
Същността на проблема е свързана с това, че приложението изтегля конфигурационен файл през некриптирана HTTP уеб връзка, за разлика от HTTPS, като по този начин отваря вратата за промяната му по време на преноса до целевия телефон. Няма доказателства, че някога е бил използван в дивата природа.
Разрешения, изисквани от приложението Showcase.apk
Струва си да се отбележи, че приложението не е софтуер, създаден от Google. По-скоро е разработено от компания за корпоративен софтуер, наречена Smith Micro, за да постави устройството в демонстрационен режим. Засега не е ясно защо софтуер на трети страни е директно вграден във фърмуера на Android, но на фона на това представител на Google заяви, че приложението е собственост на Verizon и се изисква от него на всички устройства с Android.
Крайният резултат е, че това оставя смартфоните Pixel с Android уязвими за атаки adversary-in-the-middle (AitM), предоставяйки на злонамерените хакери правомощия да инжектират зловреден код и шпионски софтуер.
Освен че работи в силно привилегирован контекст на системно ниво, приложението „не успява да удостовери или провери статично определен домейн по време на извличането на конфигурационния файл на приложението“ и „използва несигурна инициализация на променливите по подразбиране по време на проверката на сертификатите и подписите, което води до валидни проверки след неуспех“.
При това критичността на недостатъка се смекчава до известна степен от факта, че приложението не е активирано по подразбиране, въпреки че е възможно да го направи само когато заплахата има физически достъп до целевото устройство и режимът за разработчици е включен.
„Тъй като това приложение не е изначално злонамерено, повечето технологии за сигурност могат да го пренебрегнат и да не го маркират като злонамерено, а тъй като приложението е инсталирано на системно ниво и е част от фърмуера, то не може да бъде деинсталирано на потребителско ниво“, заяви iVerify.
В изявление, споделено с The Hacker News, Google заяви, че това не е уязвимост нито на платформата Android, нито на Pixel, и че е свързана с пакетния файл, разработен за демонстрационни устройства в магазините на Verizon. Тя също така заяви, че приложението вече не се използва.
„Експлоатирането на това приложение на потребителския телефон изисква както физически достъп до устройството, така и парола на потребителя“, заяви говорител на Google. „Не сме видели доказателства за активна експлоатация. От голяма предпазливост ще премахнем това приложение от всички поддържани на пазара устройства Pixel с предстояща актуализация на софтуера на Pixel. Приложението не присъства в устройствата от серията Pixel 9. Уведомяваме и други производители на оригинално оборудване с Android.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.