Голям процент от собствените устройства Pixel на Google, доставени в световен мащаб от септември 2017 г. насам, са включвали неактивен софтуер, който може да се използва за организиране на злонамерени атаки и доставяне на различни видове зловреден софтуер.

Проблемът се проявява под формата на предварително инсталирано приложение за Android, наречено „Showcase.apk“, което идва с прекомерни системни привилегии, включително възможност за отдалечено изпълнение на код и инсталиране на произволни пакети на устройството, според фирмата за мобилна сигурност iVerify.

„Приложението изтегля конфигурационен файл през незащитена връзка и може да бъде манипулирано, за да изпълнява код на системно ниво“, се казва в анализ, публикуван съвместно с Palantir Technologies и Trail of Bits.

„Приложението извлича конфигурационния файл от един-единствен домейн, базиран в САЩ и хостван в AWS, по незащитена HTTP връзка, което оставя конфигурацията уязвима и може да направи устройството уязвимо.“

Въпросното приложение се нарича Verizon Retail Demo Mode („com.customermobile.preload.vzw“), което изисква близо три дузини различни разрешения въз основа на артефакти, качени във VirusTotal по-рано този февруари, включително местоположение и външно съхранение. Публикациите в Reddit и XDA Forums показват, че пакетът съществува от август 2016 г. насам.

Същността на проблема е свързана с това, че приложението изтегля конфигурационен файл през некриптирана HTTP уеб връзка, за разлика от HTTPS, като по този начин отваря вратата за промяната му по време на преноса до целевия телефон. Няма доказателства, че някога е бил използван в дивата природа.

Разрешения, изисквани от приложението Showcase.apk

Струва си да се отбележи, че приложението не е софтуер, създаден от Google. По-скоро е разработено от компания за корпоративен софтуер, наречена Smith Micro, за да постави устройството в демонстрационен режим. Засега не е ясно защо софтуер на трети страни е директно вграден във фърмуера на Android, но на фона на това представител на Google заяви, че приложението е собственост на Verizon и се изисква от него на всички устройства с Android.

Крайният резултат е, че това оставя смартфоните Pixel с Android уязвими за атаки adversary-in-the-middle (AitM), предоставяйки на злонамерените хакери правомощия да инжектират зловреден код и шпионски софтуер.

Освен че работи в силно привилегирован контекст на системно ниво, приложението „не успява да удостовери или провери статично определен домейн по време на извличането на конфигурационния файл на приложението“ и „използва несигурна инициализация на променливите по подразбиране по време на проверката на сертификатите и подписите, което води до валидни проверки след неуспех“.

При това критичността на недостатъка се смекчава до известна степен от факта, че приложението не е активирано по подразбиране, въпреки че е възможно да го направи само когато  заплахата има физически достъп до целевото устройство и режимът за разработчици е включен.

„Тъй като това приложение не е изначално злонамерено, повечето технологии за сигурност могат да го пренебрегнат и да не го маркират като злонамерено, а тъй като приложението е инсталирано на системно ниво и е част от  фърмуера, то не може да бъде деинсталирано на потребителско ниво“, заяви iVerify.

В изявление, споделено с The Hacker News, Google заяви, че това не е уязвимост нито на платформата Android, нито на Pixel, и че е свързана с пакетния файл, разработен за демонстрационни устройства в магазините на Verizon. Тя също така заяви, че приложението вече не се използва.

„Експлоатирането на това приложение на потребителския телефон изисква както физически достъп до устройството, така и парола на потребителя“, заяви говорител на Google. „Не сме видели доказателства за активна експлоатация. От голяма предпазливост ще премахнем това приложение от всички поддържани на пазара устройства Pixel с предстояща актуализация на софтуера на Pixel. Приложението не присъства в устройствата от серията Pixel 9. Уведомяваме и други производители на оригинално оборудване с Android.“