Flagowa linia smartfonów Google Pixel reklamuje bezpieczeństwo jako kluczową funkcję, oferując gwarantowane aktualizacje oprogramowania przez siedem lat i działający na standardowym systemie Android, który ma być wolny od dodatków i oprogramowania typu bloatware innych firm. Jednak w czwartek badacze z firmy iVerify zajmującej się bezpieczeństwem urządzeń mobilnych publikowanie ustaleń na luce w zabezpieczeniach Androida, która wydaje się być obecna w każdej wersji Androida dla Pixela od września 2017 r. i może narazić urządzenia na manipulację i przejęcie.
Problem dotyczy pakietu oprogramowania o nazwie „Showcase.apk”, który działa na poziomie systemu i czai się niewidoczny dla użytkowników. Aplikacja została opracowana przez firmę Smith Micro dla przedsiębiorstw zajmującą się oprogramowaniem dla firmy Verizon jako mechanizm umożliwiający wprowadzenie telefonów w tryb demonstracyjny sklepu detalicznego — nie jest to oprogramowanie Google. Jednak od lat jest dostępny w każdej wersji Androida dla Pixela i zapewnia głębokie uprawnienia systemowe, w tym zdalne wykonywanie kodu i zdalną instalację oprogramowania. Jeszcze bardziej ryzykowne jest to, że aplikacja umożliwia pobieranie pliku konfiguracyjnego za pośrednictwem niezaszyfrowanego połączenia internetowego HTTP, które według badaczy iVerify może zostać przejęte przez osobę atakującą w celu przejęcia kontroli nad aplikacją, a następnie nad całym urządzeniem ofiary.
iVerify ujawniło swoje ustalenia Google na początku maja, a gigant technologiczny nie opublikował jeszcze rozwiązania problemu. Rzecznik Google Ed Fernandez w oświadczeniu WIRED informuje, że Showcase „nie jest już używany” przez Verizon, a Android usunie Showcase ze wszystkich obsługiwanych urządzeń Pixel wraz z aktualizacją oprogramowania „w nadchodzących tygodniach”. Dodał, że Google nie widział dowodów aktywnego wykorzystania i że aplikacja nie jest dostępna w nowych urządzeniach z serii Pixel 9, które Google ogłosił w tym tygodniu.
W odpowiedzi na zapytanie WIRED dotyczące luki w zabezpieczeniach Showcase, rzecznik firmy Verizon, George Koroneos, powiedział: „Aplikacja APK, o której mowa, była używana w wersjach demonstracyjnych dla sklepów detalicznych i nie jest już używana”. Smith Micro nie odpowiedział na prośby WIRED o komentarz przed publikacją.
„Widziałem wiele luk w zabezpieczeniach Androida, a ta jest pod kilkoma względami wyjątkowa i dość niepokojąca” – mówi Rocky Cole, dyrektor operacyjny iVerify i były analityk amerykańskiej Agencji Bezpieczeństwa Narodowego. „Po uruchomieniu Showcase.apk może przejąć kontrolę nad telefonem. Ale szczerze mówiąc, kod jest tandetny. Rodzi to pytanie, dlaczego oprogramowanie innych firm, które działa z tak wysokimi uprawnieniami tak głęboko w systemie operacyjnym, nie zostało dokładniej przetestowane. Wydaje mi się, że Google wypycha bloatware na urządzenia Pixel na całym świecie.
Badacze iVerify odkryli tę aplikację po tym, jak firmowy skaner wykrywający zagrożenia oznaczył nietypową weryfikację aplikacji w Sklepie Google Play na urządzeniu użytkownika. Klient, firma Palantir zajmująca się analizą dużych zbiorów danych, współpracowała z iVerify, aby zbadać Showcase.apk i ujawnić wyniki Google. Dane Stuckey, dyrektor ds. bezpieczeństwa informacji w Palantir, twierdzi, że to odkrycie i, jak to określa, powolna i nieprzejrzysta reakcja Google, skłoniły Palantir do wycofania nie tylko telefonów Pixel, ale wszystkich urządzeń z Androidem w całej firmie.
„Google osadza oprogramowanie innych firm w oprogramowaniu Androida i nie ujawnia tego dostawcom ani użytkownikom, stwarza znaczną lukę w zabezpieczeniach każdego, kto polega na tym ekosystemie” – Stuckey mówi WIRED. Dodał, że jego interakcje z Google przez cały standardowy 90-dniowy okres ujawniania informacji „poważnie nadwątliły nasze zaufanie do ekosystemu. Aby chronić naszych klientów, musieliśmy podjąć trudną decyzję o odejściu od Androida w naszym przedsiębiorstwie”.
