Google je nedavno predstavio najnoviju liniju Pixel uređaja na čelu sa Pixelom 9, no nedavno otkriće sigurnosne tvrtke iVerify upućuje na propust koji, čini se, obuhvaća velik broj prijašnjih modela.

Riječ je o paketu Showcase.apk, koji je element Androidovog firmvera kojem je omogućen pristup raznim sistemskim privilegijama. Na sreću, prosječni ga korisnik ne može omogućiti i izravno njime upravljati, no istraživanje koje je sproveo iVerify ukazuje da bi ga loš akter mogao iskoristiti za nanošenje ozbiljne štete.

'Ova ranjivost čini operativni sustav dostupnim kibernetičkim kriminalcima za izvođenje napada čovjeka u sredini, ubacivanja zlonamjernog softvera i instalacije špijunskog softvera', navodi tvrtka. Istraživanje također nalaže da loš akter može zbog ovog paketa instalirati zlonamjerni softver bez fizičkog pristupa telefonu. Kriminalci mogu naknadno pokrenuti razne oblike napada koji uključuju krađu osjetljivih podataka ili preuzimanje sustava.

Showcase.apk, piše Washington Post, preuzima konfiguracijska sredstva preko nezaštićene HTTP veze, ostavljajući telefon ranjivim na zlonamjerne aktere. Ono što ga čini strašnijim jest to što ga korisnici ne mogu izravno deinstalirati.

Problem koji ima samo Pixel?

Paket Showcase.apk dolazi predinstaliran u firmwareu Pixela i također je ključna komponenta OTA slika za instaliranje ažuriranja softvera koje Google objavljuje javno i uglavnom tijekom ranog procesa razvoja. iVerify napominje da postoji više načina na koje haker može omogućiti paket, iako on prema zadanim postavkama nije aktivan.

iVerify kaže da je obavijestio Google o ovom alarmantnom otkriću 90 dana prije nego što je s njime izašao u javnost, ali Google nije dao ažuriranu informaciju o tome kada će popraviti grešku - ostavljajući milijune Pixel uređaja prodanih diljem svijeta u opasnosti.

Drugo, jedan od uređaja koji je označen kao nezaštićen bio je u aktivnoj uporabi u Palantir Technologiesima, analitičkoj tvrtki kojoj je Ministarstvo obrane SAD-a nedavno dodijelilo ugovor vrijedan oko pola milijarde dolara. Digital Trends naglašava da sama datoteka Showcase.apk nije problem. Ona samo predstavlja metodu kojom telefon preuzima konfiguracijske datoteke preko nezaštićene HTTP veze. Podsjećamo, Googleov preglednik Chrome upozorava korisnike svaki put kada posjete web stranicu koristeći stari HTTP protokol umjesto sigurnije HTTPS arhitekture.

Digital Trends je nakon upita za izjavu dobio odgovor iz Googlea u kojoj kompanija nalaže da se radi o APK-u koji je razvio Smith Micro za Verizonove demo uređaje te koja se više ne koristi. Da bi se aktivirala, kažu iz firme, potreban je fizički pristup telefonu i korisnička lozinka za otključavanje. Google je također rekao da će iz sigurnosne predostrožnosti te datoteke izbrisati s Pixela u sklopu iduće nadogradnje. Aplikacija, naglašava firma, nije prisutna na uređajima serije Pixel 9.

Digital Trends također naglašava da bi Google u probleme mogli dovesti telefoni koje koriste kompanije koje upošljava američka vojska, što bi teoretski moglo ugroziti nacionalnu sigurnost.

Softver napravljen za Verizon

Aplikaciju Showcase.apk je napravio Smith Micro za telekomunikacijskog diva Verizon kako bi telefone postavio u demo način rada za maloprodajne trgovine. Štoviše, budući da sama aplikacija ne sadrži zlonamjerni kod, gotovo je nemoguće da je antivirusne aplikacije ili softver označi kao takvu. Google, s druge strane, kaže da bi iskorištavanje greške zahtijevalo fizički pristup i poznavanje šifre telefona.

Međutim, iVerify je također pokrenuo pitanja o širokoj prisutnosti aplikacije. Ako je razvijen za demo jedinice na Verizonov zahtjev, zašto je paket bio dio Pixel firmvera na svim Pixel uređajima?

Nakon sigurnosne revizije, Palantir je učinkovito uklonio sve Android uređaje iz svoje flote i prešao isključivo na iPhone, prijelaz koji će biti dovršen tijekom sljedećih nekoliko godina. Srećom, ne postoje dokazi da su hakeri dosad koristili ranjivost Showcase.apk.