Специалисты iVerify
в устройствах Pixel пакет Showcase.apk, который устанавливался смартфоны по всему миру с сентября 2017 года.
Исследователи заявили, что приложение представляет угрозу безопасности, и хотя в Google оспаривают это утверждение, компания согласилась удалить приложение со всех поддерживаемых устройств Pixel.
Исследователи рассказали, что предустановленный Showcase.apk обладает чрезмерными привилегиями, включая возможность удаленного выполнения кода и установки произвольных пакетов на устройство.
Само приложение, о котором идет речь, называется Verizon Retail Demo Mode (com.customermobile.preload.vzw) и требует почти , включая доступ к данным о местоположении и внешнему хранилищу. Судя по сообщениям на и , этот пакет существует с августа 2016 года.
Так как приложение загружает файл конфигурации через HTTP, а не HTTPS, это открывает возможности для man-in-the-middle атак и изменения файла в процессе доставки на телефон. Также отмечается, что приложение «не может аутентифицировать или проверить статический домен при получении файла конфигурации» и «использует небезопасную инициализацию переменных по умолчанию при проверке сертификатов и подписей, что приводит к прохождению проверок после сбоя». Однако нет никаких доказательств того, что эта проблема когда-либо использовалась злоумышленниками.
Нужно отметить, что это приложение создано не Google. Оно разработано компанией Smith Micro и предназначено для перевода устройства в демонстрационный режим. В настоящее время неизвестно, почему стороннее ПО напрямую встраивалось в прошивку Android, но представители Google сообщили, что приложение принадлежит компании Verizon, которая требовала его установки на Android-устройства.
При этом критичность обнаруженной iVerify проблемы снижается из-за того, что приложение не включено по умолчанию, а включить его получится лишь в том случае, если у злоумышленника есть физический доступ к целевому устройству и активен режим разработчика.
Разработки GrapheneOS и вовсе , что даже физического доступа к устройству будет недостаточно.
Тем не менее, представители Google уже отреагировали на публикацию отчета iVerify. В компании , что проблема не связана уязвимостями платформы Android или устройств Pixel, и ограничена только APK-файлом, разработанным для демонстрационных устройств в магазинах Verizon. Также отмечается, что это приложение больше не используется, а каких-либо признаков эксплуатации этой проблемы обнаружено не было.
Исследователи заявили, что приложение представляет угрозу безопасности, и хотя в Google оспаривают это утверждение, компания согласилась удалить приложение со всех поддерживаемых устройств Pixel.
Исследователи рассказали, что предустановленный Showcase.apk обладает чрезмерными привилегиями, включая возможность удаленного выполнения кода и установки произвольных пакетов на устройство.
Само приложение, о котором идет речь, называется Verizon Retail Demo Mode (com.customermobile.preload.vzw) и требует почти , включая доступ к данным о местоположении и внешнему хранилищу. Судя по сообщениям на и , этот пакет существует с августа 2016 года.
Так как приложение загружает файл конфигурации через HTTP, а не HTTPS, это открывает возможности для man-in-the-middle атак и изменения файла в процессе доставки на телефон. Также отмечается, что приложение «не может аутентифицировать или проверить статический домен при получении файла конфигурации» и «использует небезопасную инициализацию переменных по умолчанию при проверке сертификатов и подписей, что приводит к прохождению проверок после сбоя». Однако нет никаких доказательств того, что эта проблема когда-либо использовалась злоумышленниками.
Нужно отметить, что это приложение создано не Google. Оно разработано компанией Smith Micro и предназначено для перевода устройства в демонстрационный режим. В настоящее время неизвестно, почему стороннее ПО напрямую встраивалось в прошивку Android, но представители Google сообщили, что приложение принадлежит компании Verizon, которая требовала его установки на Android-устройства.
При этом критичность обнаруженной iVerify проблемы снижается из-за того, что приложение не включено по умолчанию, а включить его получится лишь в том случае, если у злоумышленника есть физический доступ к целевому устройству и активен режим разработчика.
Разработки GrapheneOS и вовсе , что даже физического доступа к устройству будет недостаточно.
Тем не менее, представители Google уже отреагировали на публикацию отчета iVerify. В компании , что проблема не связана уязвимостями платформы Android или устройств Pixel, и ограничена только APK-файлом, разработанным для демонстрационных устройств в магазинах Verizon. Также отмечается, что это приложение больше не используется, а каких-либо признаков эксплуатации этой проблемы обнаружено не было.
