Google усуває критичну вразливість у прошивці своїх смартфонів Pixel, які були випущені з 2017 року. Уразливість пов’язана з пакетом програм під назвою Showcase.apk, який має численні системні привілеї. Хоча цей пакет зазвичай не взаємодіє з користувачем, він може бути використаний зловмисниками для завдання серйозної шкоди.
Ця вразливість дозволяє кіберзлочинцям отримати доступ до операційної системи та здійснювати атаки типу «людина посередині». Зловмисники можуть впроваджувати шкідливе програмне забезпечення, встановлювати шпигунські програми, а також дистанційно виконувати код і встановлювати пакети.
Особливу тривогу викликає те, що для встановлення шкідливих програм не потрібен фізичний доступ до пристрою, що відкриває можливість крадіжки персональних даних і фінансових ресурсів.
Showcase.apk використовує незахищене підключення HTTP для завантаження конфігураційних файлів, що полегшує роботу хакерів. Користувачі не можуть самостійно видалити цей пакет.
Фахівці, які виявили вразливість, повідомили про неї Google за 90 днів до публічного оголошення. Тим часом один із вразливих пристроїв активно використовувався в аналітичній компанії Palantir Technologies, яка нещодавно отримала контракт на 500 млн доларів від Міністерства оборони США на розробку систем комп’ютерного зору для армії.
Основна проблема полягає не в самому додатку, а в завантаженні файлів конфігурації. Наприклад, браузер Google Chrome попереджає користувачів при відвідуванні сайтів, що використовують HTTP замість захищеного HTTPS.
Представник Google повідомив, що пакет більше не використовується, і для його експлуатації на пристрої потрібен фізичний доступ і знання пароля користувача. Для додаткового захисту, оновлення програмного забезпечення видаляє цей пакет з підтримуваних пристроїв. Водночас, на моделях Pixel 9 ця проблема не існує.
Додаток був розроблений компанією Smith Micro для Verizon з метою переведення пристроїв у демонстраційний режим для роздрібних магазинів. Оскільки програма не містить шкідливого коду, антивірусні програми не можуть виявити загрозу.
Експерти ставлять під сумнів пояснення Google і запитують, чому демонстраційний додаток для Verizon знаходиться на всіх пристроях Pixel, а не тільки на тих, що продаються цим оператором.
На даний момент доказів фактичного використання вразливості Showcase.apk не виявлено.
Американський бізнесмен і мільярдер Ілон Маск вважає, що штучний інтелект (ШІ) перевершить інтелект усіх людей…
На YouTube-каналі Nothing нещодавно вийшло нове відео, в якому Люсі Берлі, дизайнерка компанії, розповіла про…
Напередодні зимових свят відоме видання Gizmochina представило детальний рейтинг найкращих камерофонів кінця 2024 року, які…
Коли читаєш цей текст, твій телефон може бути під прицілом хакерів. Ні, я не маю…
Samsung готується до випуску нової серії Galaxy S25, включаючи модель Galaxy S25 Slim з ультратонким…
23 грудня компанія MediaTek презентувала новий чіпсет Dimensity 8400, який обіцяє стати значним кроком вперед…