Google усуває критичну вразливість у прошивці своїх смартфонів Pixel, які були випущені з 2017 року. Уразливість пов’язана з пакетом програм під назвою Showcase.apk, який має численні системні привілеї. Хоча цей пакет зазвичай не взаємодіє з користувачем, він може бути використаний зловмисниками для завдання серйозної шкоди.
Ця вразливість дозволяє кіберзлочинцям отримати доступ до операційної системи та здійснювати атаки типу «людина посередині». Зловмисники можуть впроваджувати шкідливе програмне забезпечення, встановлювати шпигунські програми, а також дистанційно виконувати код і встановлювати пакети.
Особливу тривогу викликає те, що для встановлення шкідливих програм не потрібен фізичний доступ до пристрою, що відкриває можливість крадіжки персональних даних і фінансових ресурсів.
Showcase.apk використовує незахищене підключення HTTP для завантаження конфігураційних файлів, що полегшує роботу хакерів. Користувачі не можуть самостійно видалити цей пакет.
Фахівці, які виявили вразливість, повідомили про неї Google за 90 днів до публічного оголошення. Тим часом один із вразливих пристроїв активно використовувався в аналітичній компанії Palantir Technologies, яка нещодавно отримала контракт на 500 млн доларів від Міністерства оборони США на розробку систем комп’ютерного зору для армії.
Основна проблема полягає не в самому додатку, а в завантаженні файлів конфігурації. Наприклад, браузер Google Chrome попереджає користувачів при відвідуванні сайтів, що використовують HTTP замість захищеного HTTPS.
Представник Google повідомив, що пакет більше не використовується, і для його експлуатації на пристрої потрібен фізичний доступ і знання пароля користувача. Для додаткового захисту, оновлення програмного забезпечення видаляє цей пакет з підтримуваних пристроїв. Водночас, на моделях Pixel 9 ця проблема не існує.
Додаток був розроблений компанією Smith Micro для Verizon з метою переведення пристроїв у демонстраційний режим для роздрібних магазинів. Оскільки програма не містить шкідливого коду, антивірусні програми не можуть виявити загрозу.
Експерти ставлять під сумнів пояснення Google і запитують, чому демонстраційний додаток для Verizon знаходиться на всіх пристроях Pixel, а не тільки на тих, що продаються цим оператором.
На даний момент доказів фактичного використання вразливості Showcase.apk не виявлено.