Специалисты по кибербезопасности из компании iVerify недавно обнаружили потенциальную угрозу безопасности в устройствах Google Pixel. Речь идет о предустановленном пакете Showcase.apk, который устанавливался на смартфоны по всему миру с сентября 2017 года. Хотя Google оспаривает серьезность угрозы, компания согласилась удалить приложение со всех поддерживаемых устройств Pixel в качестве меры предосторожности.
Анализ уязвимости Showcase.apk
Приложение, известное как Verizon Retail Demo Mode (com.customermobile.preload.vzw), вызывает озабоченность из-за чрезмерных привилегий, которые оно запрашивает. Эксперты iVerify отмечают, что оно требует около 30 различных разрешений, включая доступ к данным о местоположении и внешнему хранилищу. Более того, приложение обладает возможностью удаленного выполнения кода и установки произвольных пакетов на устройство, что потенциально может быть использовано злоумышленниками.
Проблемы с безопасностью соединения
Одной из ключевых проблем, выявленных исследователями, является то, что приложение загружает конфигурационный файл через незащищенное HTTP-соединение. Это открывает возможности для атак типа «человек посередине» (man-in-the-middle) и потенциального изменения файла в процессе доставки на телефон. Кроме того, приложение не способно аутентифицировать или проверить статический домен при получении файла конфигурации, что еще больше увеличивает риск компрометации.
Оценка реальной угрозы
Несмотря на серьезность выявленных проблем, важно отметить, что эксплуатация этой уязвимости требует определенных условий. Приложение не включено по умолчанию, и для его активации злоумышленнику потребуется физический доступ к устройству и знание пароля пользователя. Более того, разработчики GrapheneOS утверждают, что даже при наличии физического доступа и пароля, приложение не создает реальной поверхности для атак.
Реакция Google и меры по устранению
Google оперативно отреагировала на публикацию отчета iVerify. Компания подчеркнула, что проблема не связана с уязвимостями платформы Android или устройств Pixel, а ограничена только APK-файлом, разработанным для демонстрационных устройств в магазинах Verizon. В качестве превентивной меры Google приняла решение удалить это приложение со всех поддерживаемых устройств Pixel с ближайшим обновлением программного обеспечения. Важно отметить, что на устройствах серии Pixel 9 данное приложение уже отсутствует.
Этот инцидент подчеркивает важность постоянного мониторинга и анализа безопасности даже предустановленных приложений на мобильных устройствах. Хотя в данном случае реальная угроза оказалась минимальной, оперативная реакция Google демонстрирует серьезное отношение компании к вопросам кибербезопасности. Пользователям рекомендуется регулярно обновлять свои устройства и быть внимательными к запрашиваемым приложениями разрешениям, чтобы минимизировать потенциальные риски безопасности.