O vulnerabilitate critică ce afectează milioane de telefoane Pixel, produse de Google și distribuite la nivel global, a fost descoperită de iVerify, o platformă de securitate mobilă. Această vulnerabilitate este cauzată de o aplicație preinstalată, numită Showcase.apk, care ar putea permite atacatorilor să compromită securitatea dispozitivelor afectate.
Conform iVerify, aplicația „Showcase.apk” a fost descoperită ca parte a firmware-ului standard pe un număr substanțial de telefoane Pixel expediate începând cu septembrie 2017. Deși aplicația nu este activată implicit, ea are privilegii extinse la nivel de sistem, inclusiv capacitatea de a executa cod de la distanță și de a instala pachete software pe dispozitiv. Aceste privilegii fac ca dispozitivele să fie vulnerabile la atacuri de tip man-in-the-middle (MITM), în timpul cărora atacatorii pot injecta coduri rău intenționate sau chiar spyware.
Showcase.apk descarcă un fișier de configurare printr-o conexiune nesecurizată (HTTP), dintr-un domeniu găzduit pe serverele Amazon Web Services (AWS) din SUA. Această practică lasă deschisă posibilitatea interceptării și manipulării fișierului de configurare, ceea ce poate duce la execuția de cod la nivel de sistem pe dispozitivul compromis.
Mai simplu explicat, aplicația Showcase.apk, preinstalată pe multe telefoane Pixel începând din 2017, poate executa cod de la distanță și instala software potențial periculos printr-o conexiune nesecurizată, făcând dispozitivele vulnerabile la atacuri cibernetice.
Implicații asupra securității utilizatorilor de telefoane Pixel
Faptul că această aplicație este integrată în sistemul de operare și nu poate fi dezinstalată prin metode convenționale de utilizatorii obișnuiți este îngrijorător. Aplicația a fost dezvoltată de Smith Micro, o companie de software care operează în America și EMEA, și a fost destinată să fie utilizată pentru demonstrație (demo mode) pe telefoane Pixel în magazinele Verizon.
iVerify avertizează că, deși aplicația nu este activată implicit și necesită acces fizic la dispozitiv pentru a fi activată, ea poate deveni o poartă de acces pentru criminalii cibernetici, mai ales dacă dispozitivul este configurat în modul de dezvoltator.
Reacția Google și măsurile de siguranță
Google a răspuns la aceste acuzații într-o declarație oferită Wired, spunând că vulnerabilitatea nu este specifică platformei Android sau telefoanelor Pixel, ci se referă la un pachet software dezvoltat pentru dispozitivele demo din magazinele Verizon. De asemenea, Google a menționat că nu există dovezi ale exploatării active a acestei vulnerabilități și că aplicația nu este prezentă pe dispozitivele din seria Pixel 9.