У смартфонах Google Pixel знайшли небезпечну вразливість

Компанія Google позиціонує лінійку своїх смартфонів Pixel як безпечні пристрої. Однак фахівці з кібербезпеки знайшли серйозну вразливість, яка зустрічається практично у всіх девайсах серії протягом багатьох років. Про це розповіли співробітники компанії iVerify. Вони змогли знайти небезпечне ПЗ, коли їхній сканер виявлення загроз зафіксував незвичайну перевірку застосунку в Google Play Store.

За словами експертів, уразливість виявили у версії операційної системи Android, яку розробили спеціально для «Пікселів». Уперше вона з’явилася в ОС ще у вересні 2017 року – на той момент існувало тільки перше покоління Pixel. Фахівці зазначили, що йдеться про програмний пакет Showcase.apk. Звичайні користувачі не можуть його побачити.

Такий додаток створила компанія Smith Micro. Його розробили для оператора Verizon, щоб переводити смартфони в демонстраційний режим для використання в магазинах. У Showcase є можливість віддалено запускати різний код і встановлювати програмне забезпечення. При цьому файли конфігурації завантажуються через з’єднання HTTP, яке не захищене від перехоплення. Зловмисники можуть отримати контроль не тільки над додатком, а й над усім смартфоном. Але для цього необхідно ввімкнути програму на пристрої, оскільки за замовчуванням вона не працює.

Як зазначили в iVerify, про вразливість співробітники розповіли Google ще на початку травня 2024 року. Компанія не виправила вразливість. Як пише Wired, у Google заявили, що Verizon більше не використовує Showcase, а додаток видалять з усіх підтримуваних Pixel за допомогою нового оновлення. Також представник компанії повідомив, що в експертів немає доказів активної експлуатації Showcase. Крім цього, такого додатка немає у свіжих смартфонах лінійки, які показали кілька днів тому. У Verizon також заявили, що більше не використовують демонстраційне ПЗ.