Търсене
Close this search box.

Голям процент от собствените устройства Pixel на Google, доставени в световен мащаб от септември 2017 г. насам, са включвали неактивен софтуер, който може да се използва за организиране на злонамерени атаки и доставяне на различни видове зловреден софтуер.

Проблемът се проявява под формата на предварително инсталирано приложение за Android, наречено „Showcase.apk“, което идва с прекомерни системни привилегии, включително възможност за отдалечено изпълнение на код и инсталиране на произволни пакети на устройството, според фирмата за мобилна сигурност iVerify.

„Приложението изтегля конфигурационен файл през незащитена връзка и може да бъде манипулирано, за да изпълнява код на системно ниво“, се казва в анализ, публикуван съвместно с Palantir Technologies и Trail of Bits.

„Приложението извлича конфигурационния файл от един-единствен домейн, базиран в САЩ и хостван в AWS, по незащитена HTTP връзка, което оставя конфигурацията уязвима и може да направи устройството уязвимо.“

Въпросното приложение се нарича Verizon Retail Demo Mode („com.customermobile.preload.vzw“), което изисква близо три дузини различни разрешения въз основа на артефакти, качени във VirusTotal по-рано този февруари, включително местоположение и външно съхранение. Публикациите в Reddit и XDA Forums показват, че пакетът съществува от август 2016 г. насам.

Същността на проблема е свързана с това, че приложението изтегля конфигурационен файл през некриптирана HTTP уеб връзка, за разлика от HTTPS, като по този начин отваря вратата за промяната му по време на преноса до целевия телефон. Няма доказателства, че някога е бил използван в дивата природа.

Google Pixel

Разрешения, изисквани от приложението Showcase.apk

 

Струва си да се отбележи, че приложението не е софтуер, създаден от Google. По-скоро е разработено от компания за корпоративен софтуер, наречена Smith Micro, за да постави устройството в демонстрационен режим. Засега не е ясно защо софтуер на трети страни е директно вграден във фърмуера на Android, но на фона на това представител на Google заяви, че приложението е собственост на Verizon и се изисква от него на всички устройства с Android.

Крайният резултат е, че това оставя смартфоните Pixel с Android уязвими за атаки adversary-in-the-middle (AitM), предоставяйки на злонамерените хакери правомощия да инжектират зловреден код и шпионски софтуер.

Освен че работи в силно привилегирован контекст на системно ниво, приложението „не успява да удостовери или провери статично определен домейн по време на извличането на конфигурационния файл на приложението“ и „използва несигурна инициализация на променливите по подразбиране по време на проверката на сертификатите и подписите, което води до валидни проверки след неуспех“.

При това критичността на недостатъка се смекчава до известна степен от факта, че приложението не е активирано по подразбиране, въпреки че е възможно да го направи само когато  заплахата има физически достъп до целевото устройство и режимът за разработчици е включен.

„Тъй като това приложение не е изначално злонамерено, повечето технологии за сигурност могат да го пренебрегнат и да не го маркират като злонамерено, а тъй като приложението е инсталирано на системно ниво и е част от  фърмуера, то не може да бъде деинсталирано на потребителско ниво“, заяви iVerify.

В изявление, споделено с The Hacker News, Google заяви, че това не е уязвимост нито на платформата Android, нито на Pixel, и че е свързана с пакетния файл, разработен за демонстрационни устройства в магазините на Verizon. Тя също така заяви, че приложението вече не се използва.

„Експлоатирането на това приложение на потребителския телефон изисква както физически достъп до устройството, така и парола на потребителя“, заяви говорител на Google. „Не сме видели доказателства за активна експлоатация. От голяма предпазливост ще премахнем това приложение от всички поддържани на пазара устройства Pixel с предстояща актуализация на софтуера на Pixel. Приложението не присъства в устройствата от серията Pixel 9. Уведомяваме и други производители на оригинално оборудване с Android.“

 

Източник: The Hacker News

Подобни публикации

5 октомври 2024

Сривът на киберфирмата на елита от националнaта...

Сривът на IronNet: Някои твърдят, че фирмата се е сринала отчасти з...
5 октомври 2024

Рансъмуерът удря критичната инфраструктура, а р...

Финансовото въздействие на кибератака, насочена към киберфизична си...
4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
Бъдете социални
Още по темата
29/09/2024

Приложение за крипто измами...

Изследователи в областта на киберсигурността са...
19/09/2024

Google пусна Chrome 129 с к...

Във вторник Google обяви пускането на...
16/09/2024

Google прави големи разходи...

Технологичният гигант сключи нова сделка за ...
Последно добавени
05/10/2024

Сривът на киберфирмата на е...

Сривът на IronNet: Някои твърдят, че...
05/10/2024

Рансъмуерът удря критичната...

Финансовото въздействие на кибератака, насочена към...
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!