Специалисты iVerify обнаружили в устройствах Pixel пакет Showcase.apk, который устанавливался на смартфоны по всему миру с сентября 2017 года. Исследователи заявили, что приложение представляет угрозу безопасности, и хотя в Google оспаривают это утверждение, компания согласилась удалить приложение со всех поддерживаемых устройств Pixel.
Исследователи рассказали, что предустановленный Showcase.apk обладает чрезмерными привилегиями, включая возможность удаленного выполнения кода и установки произвольных пакетов на устройство.
Само приложение, о котором идет речь, называется Verizon Retail Demo Mode (com.customermobile.preload.vzw) и требует почти 30 различных разрешений, включая доступ к данным о местоположении и внешнему хранилищу. Судя по сообщениям на Reddit и XDA Forums, этот пакет существует с августа 2016 года.
«Приложение загружает конфигурационный файл через незащищенное соединение и может использоваться для выполнения кода на системном уровне, — рассказывают исследователи iVerify. — Приложение получает файл конфигурации из домена AWS, расположенного в США, по незащищенному протоколу HTTP, что может поставить под угрозу безопасность устройства».
Так как приложение загружает файл конфигурации через HTTP, а не HTTPS, это открывает возможности для man-in-the-middle атак и изменения файла в процессе доставки на телефон. Также отмечается, что приложение «не может аутентифицировать или проверить статический домен при получении файла конфигурации» и «использует небезопасную инициализацию переменных по умолчанию при проверке сертификатов и подписей, что приводит к прохождению проверок после сбоя». Однако нет никаких доказательств того, что эта проблема когда-либо использовалась злоумышленниками.
«Поскольку приложение не является вредоносным по своей сути, большинство защитных технологий могут его не обнаружить и определить как вредоносное, а поскольку оно установлено на системном уровне и является частью образа прошивки, его невозможно удалить на уровне пользователя», — заявили в iVerify.
Нужно отметить, что это приложение создано не Google. Оно разработано компанией Smith Micro и предназначено для перевода устройства в демонстрационный режим. В настоящее время неизвестно, почему стороннее ПО напрямую встраивалось в прошивку Android, но представители Google сообщили, что приложение принадлежит компании Verizon, которая требовала его установки на Android-устройства.
При этом критичность обнаруженной iVerify проблемы снижается из-за того, что приложение не включено по умолчанию, а включить его получится лишь в том случае, если у злоумышленника есть физический доступ к целевому устройству и активен режим разработчика.
Разработки GrapheneOS и вовсе пишут, что даже физического доступа к устройству будет недостаточно.
«Физического доступа недостаточно. Еще понадобится пароль пользователя. Это приложение не создает никакой поверхности для атак для злоумышленников с физическим доступом. Оно вообще не создает никакой фактической поверхности для атак. Чтобы включить и сконфигурировать это приложение, необходимо иметь больше контроля над устройством, чем это приложение с небезопасным способом получения файла конфигурации может дать», — говорят создатели GrapheneOS.
Тем не менее, представители Google уже отреагировали на публикацию отчета iVerify. В компании сообщили СМИ, что проблема не связана уязвимостями платформы Android или устройств Pixel, и ограничена только APK-файлом, разработанным для демонстрационных устройств в магазинах Verizon. Также отмечается, что это приложение больше не используется, а каких-либо признаков эксплуатации этой проблемы обнаружено не было.
«Эксплуатация этого приложения на телефоне пользователя потребует физического доступа к устройству и знания пароля пользователя. В качестве меры предосторожности мы удалим это приложение со всех поддерживаемых устройств Pixel с ближайшим обновлением программного обеспечения Pixel. Приложение уже отсутствует на устройствах серии Pixel 9. Также мы уведомим [о проблеме] других OEM-производителей», — заявили в Google.
