Фахівці з кібербезпеки компанії iVerify виявили потенційну вразливість у смартфонах Google Pixel, пов’язану з пакетом Showcase.apk. Цей додаток, відомий як Verizon Retail Demo Mode, встановлювався на пристрої Pixel з вересня 2017 року. Хоча Google оспорює серйозність загрози, компанія погодилася видалити додаток з усіх підтримуваних пристроїв Pixel у рамках найближчого оновлення програмного забезпечення.
Аналіз вразливості та потенційні ризики
Згідно з дослідженням iVerify, Showcase.apk має надмірні привілеї, включаючи можливість віддаленого виконання коду та встановлення довільних пакетів на пристрій. Додаток вимагає майже 30 різних дозволів, зокрема доступ до даних про місцезнаходження та зовнішнього сховища. Основна проблема полягає в тому, що додаток завантажує конфігураційний файл через незахищене HTTP-з’єднання, що може створити вразливість для атак типу “людина посередині” (man-in-the-middle).
Технічні деталі вразливості
Експерти iVerify виявили кілька потенційних проблем безпеки в Showcase.apk:
- Використання незахищеного протоколу HTTP для завантаження конфігураційного файлу
- Неможливість аутентифікації або перевірки статичного домену при отриманні файлу конфігурації
- Небезпечна ініціалізація змінних за замовчуванням при перевірці сертифікатів і підписів
Ці фактори можуть потенційно дозволити зловмисникам модифікувати конфігураційний файл під час доставки на телефон, що створює ризик для безпеки пристрою.
Оцінка реальної загрози та реакція Google
Незважаючи на виявлені вразливості, експерти з кібербезпеки зазначають, що експлуатація цієї проблеми вимагає фізичного доступу до пристрою та знання пароля користувача. Крім того, додаток не включено за замовчуванням, а його активація можлива лише при увімкненому режимі розробника.
Google підкреслює, що проблема не пов’язана з вразливостями платформи Android або пристроїв Pixel, а обмежена лише APK-файлом, розробленим для демонстраційних пристроїв у магазинах Verizon. Компанія заявляє, що не виявлено жодних ознак експлуатації цієї проблеми зловмисниками.
Заходи безпеки та рекомендації
У відповідь на виявлену проблему Google вживає наступних заходів:
- Видалення Showcase.apk з усіх підтримуваних пристроїв Pixel у найближчому оновленні
- Відсутність додатку на нових пристроях серії Pixel 9
- Повідомлення інших OEM-виробників про потенційну проблему
Хоча ризик експлуатації цієї вразливості оцінюється як низький, користувачам смартфонів Pixel рекомендується регулярно оновлювати програмне забезпечення свого пристрою та дотримуватися загальних правил кібербезпеки, включаючи використання надійних паролів та обережність при наданні фізичного доступу до свого пристрою стороннім особам.