Google opravuje závažnou zranitelnost na úrovni firmwaru, která byla přítomna v milionech telefonů Pixel prodaných po celém světě od roku 2017. „Z velké opatrnosti ji odstraníme ze všech podporovaných zařízení Pixel na trhu v rámci nadcházející softwarové aktualizace,“ uvedl Google.
Jádrem problému je balíček s názvem Showcase.apk. Aplikace je určena zaměstnancům obchodů, aby mohli demonstrovat, jak Pixely fungují. Je spojena s aplikacemi, které slouží k prezentaci funkcí nebo ukázek různých vlastností zařízení nebo softwaru. Balíček Showcase.apk je předinstalován ve firmwaru všech Pixelů a je také součástí aktualizačních obrazů OTA, které Google vydává. Běžný uživatel telefonu ji za normálních okolností nemůže povolit ani s ní přímo pracovat. Zneužít ji však mohou potenciální útočníci.
Vážná zranitelnost
„Zranitelnost zpřístupňuje operační systém kyberzločincům k provádění útoků typu man-in-the-middle, nasazování malwaru a instalaci spywaru,“ uvádějí odborníci. Bezpečnostní firma odhalila, že chyba doslova otevírá dveře pro vzdálené spuštění kódu a vzdálenou instalaci balíčků.
V praxi to znamená, že útočník může do cílového zařízení nainstalovat malware, aniž by k němu měl fyzický přístup. V závislosti na zavedeném malwaru mohou kyberzločinci následně zahájit různé formy útoku, které zahrnují mimo jiné krádež citlivých dat nebo převzetí systému.
Základní problém spočívá v tom, že soubor Showcase.apk stahuje z webu hostovaného na Amazon Web Services pokyny prostřednictvím nezabezpečeného připojení HTTP, což jej činí zranitelným. Svým způsobem je ještě děsivější skutečnost, že uživatelé nemohou tuto aplikaci sami odinstalovat.
„Aplikace stahuje konfigurační soubor přes nezabezpečené připojení a může být zmanipulována ke spuštění kódu na úrovni systému,“ píše iVerify ve 40stránkové souhrnné zprávě, která byla zveřejněna ve čtvrtek 15. srpna.
Google aplikaci odstraní
Problémem tedy není samotný soubor Showcase.apk, ale způsob, jakým stahuje konfigurační soubory přes nezabezpečené připojení HTTP. Právě tuto skutečnost považují odborníci na bezpečnost za zranitelnost, která může být zneužitá hackery.
Tiskový mluvčí Googlu Ed Fernandez uvedl, že firma nezaznamenala žádné narušení bezpečnosti prostřednictvím aplikace Showcase, a označil něco takového za nepravděpodobné. Software byl dle jeho slov vytvořen „pro demonstrační zařízení v prodejnách Verizon a již se nepoužívá“. Dodal, že „Zneužití této aplikace vyžaduje jak fyzický přístup k zařízení, tak heslo uživatele.“
Zdroje: iverify.io, washingtonpost.com, digitaltrends.com