Новости Google удаляет приложение, которое делало устройства Pixel уязвимыми для атак

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.118
Репутация
11.695
Реакции
61.900
RUB
50
Специалисты iVerify в устройствах Pixel пакет Showcase.apk, который устанавливался смартфоны по всему миру с сентября 2017 года.


Исследователи заявили, что приложение представляет угрозу безопасности, и хотя в Google оспаривают это утверждение, компания согласилась удалить приложение со всех поддерживаемых устройств Pixel.

DSCF0052.jpg


Исследователи рассказали, что предустановленный Showcase.apk обладает чрезмерными привилегиями, включая возможность удаленного выполнения кода и установки произвольных пакетов на устройство.

Само приложение, о котором идет речь, называется Verizon Retail Demo Mode (com.customermobile.preload.vzw) и требует почти , включая доступ к данным о местоположении и внешнему хранилищу. Судя по сообщениям на и , этот пакет существует с августа 2016 года.



«Приложение загружает конфигурационный файл через незащищенное соединение и может использоваться для выполнения кода на системном уровне. Приложение получает файл конфигурации из домена AWS, расположенного в США, по незащищенному протоколу HTTP, что может поставить под угрозу безопасность устройства».

Так как приложение загружает файл конфигурации через HTTP, а не HTTPS, это открывает возможности для man-in-the-middle атак и изменения файла в процессе доставки на телефон. Также отмечается, что приложение «не может аутентифицировать или проверить статический домен при получении файла конфигурации» и «использует небезопасную инициализацию переменных по умолчанию при проверке сертификатов и подписей, что приводит к прохождению проверок после сбоя». Однако нет никаких доказательств того, что эта проблема когда-либо использовалась злоумышленниками.

«Поскольку приложение не является вредоносным по своей сути, большинство защитных технологий могут его не обнаружить и определить как вредоносное, а поскольку оно установлено на системном уровне и является частью образа прошивки, его невозможно удалить на уровне пользователя».

Нужно отметить, что это приложение создано не Google. Оно разработано компанией Smith Micro и предназначено для перевода устройства в демонстрационный режим. В настоящее время неизвестно, почему стороннее ПО напрямую встраивалось в прошивку Android, но представители Google сообщили, что приложение принадлежит компании Verizon, которая требовала его установки на Android-устройства.

При этом критичность обнаруженной iVerify проблемы снижается из-за того, что приложение не включено по умолчанию, а включить его получится лишь в том случае, если у злоумышленника есть физический доступ к целевому устройству и активен режим разработчика.

Разработки GrapheneOS и вовсе , что даже физического доступа к устройству будет недостаточно.

«Физического доступа недостаточно. Еще понадобится пароль пользователя. Это приложение не создает никакой поверхности для атак для злоумышленников с физическим доступом. Оно вообще не создает никакой фактической поверхности для атак. Чтобы включить и сконфигурировать это приложение, необходимо иметь больше контроля над устройством, чем это приложение с небезопасным способом получения файла конфигурации может дать».

Тем не менее, представители Google уже отреагировали на публикацию отчета iVerify. В компании , что проблема не связана уязвимостями платформы Android или устройств Pixel, и ограничена только APK-файлом, разработанным для демонстрационных устройств в магазинах Verizon. Также отмечается, что это приложение больше не используется, а каких-либо признаков эксплуатации этой проблемы обнаружено не было.

«Эксплуатация этого приложения на телефоне пользователя потребует физического доступа к устройству и знания пароля пользователя. В качестве меры предосторожности мы удалим это приложение со всех поддерживаемых устройств Pixel с ближайшим обновлением программного обеспечения Pixel. Приложение уже отсутствует на устройствах серии Pixel 9. Также мы уведомим [о проблеме] других OEM-производителей».


 
Сверху Снизу