iVerify: Google Pixel продаются с заводским ПО, которое может использоваться для слежки или удалённого управления

Приложение Showcase.apk в прошивке смартфонов Google Pixel делает операционную систему уязвимой для атак «человек посередине», внедрения вредоносного кода и установки шпионского программного обеспечения, показало расследование компании в сфере кибербезопасности iVerify, проведённого совместно с Palantir и Trail of Bits.

Обширное влияние этой уязвимости способно привести к утечкам данных на общую сумму в миллиарды долларов, отмечают исследователи. Google получила подробный отчёт iVerify о проблеме после 90-дневного процесса раскрытия информации. 

В ИБ-компании не знают, когда Google выпустит исправление или удалит это ПО с телефонов, чтобы снизить потенциальные риски.

Пакет Showcase.apk разработала компания Smith Micro, предоставляющая программные пакеты для удалённого доступа, родительского контроля и инструментов очистки данных. Smith Micro, вероятно, создала этот пакет для повышения продаж Pixel и других Android-смартфонов в магазинах Verizon. Приложение в составе прошивки работает на системном уровне.

Пакет приложений предназначен для получения файла конфигурации по незащищённому HTTP. Он позволяет приложению выполнять системные команды, которые могут открыть бэкдор, что позволяет злоумышленникам легко скомпрометировать устройство. Поскольку Showcase.apk изначально не вредоносно, большинство технологий безопасности могут пропустить приложение и не пометить как опасное.

Приложение установлено на системном уровне как часть прошивки, поэтому ПО нельзя удалить на пользовательском уровне.

Showcase.apk используется для превращения смартфона в демонстрационное устройство, что в корне меняет способ работы ОС. Примечательно, что приложение работает в высоко привилегированном контексте, который не нужен для предполагаемой цели