Pixel-smartphones worden geleverd via discreet maar inactief onderhoud op afstand

Miljoenen Pixel-telefoons werden geleverd met software voor externe toegang die ze kwetsbaar maakte voor spyware, maar alleen als de dader fysieke toegang tot het apparaat had, het wachtwoord van de gebruiker had ingevoerd en wist hoe hij de normaal onzichtbare en inactieve software moest activeren, aldus Google. . Onder deze omstandigheden kan een aanvaller ook andere software installeren. De software voor onderhoud op afstand is naar verluidt op verzoek van Verizon geïnstalleerd sinds de lancering van de Pixel-telefoons in 2017. Het Amerikaanse mobieletelefoonbedrijf heeft de software gebruikt om Pixel-mobiele telefoons in zijn verkooppunten weer te geven.

advertentie

Het is nog steeds onduidelijk of andere Android-telefoons dan de Pixel ook getroffen worden. Actieve exploitatie onbekend. De kwetsbaarheid werd gedetecteerd door de Endpoint Detection and Response (EDR)-scanner. Door Iverify Op de mobiele telefoon van de klant. iVerify kon dit in samenwerking met getroffen klant Palantir en beveiligingsbedrijf Trail of Bits herleiden naar een verborgen Android-softwarepakket. Zelfs als de software niet meer wordt gebruikt, is deze nog steeds aanwezig op de foto’s van uw Pixel-smartphone, Zoals Dan Guido, CEO van Trail of Bits, opmerkte op X.

Het is zelfs nog steeds mogelijk om firmware-afbeeldingen voor Pixel-apparaten te downloaden van officiële Google-servers, die een priv-app-directory bevatten met Showcase.pkg vermeld in Product.img, waar heise online wordt gebruikt Android 14.0-afbeeldingen voor de Pixel 8a kan worden geverifieerd.

Volgens iVerify downloadt de app, eenmaal geactiveerd, een configuratiebestand via een onbeveiligde verbinding, wat kan leiden tot uitvoering van code op systeemniveau. Het configuratiebestand wordt opgehaald van een domein dat wordt gehost op AWS via onveilige HTTP, waardoor de configuratie en het apparaat kwetsbaar zijn voor kwaadaardige code, spyware en het verwijderen van gegevens.

Het getroffen pakket was eerder geïnstalleerd in de firmware van Pixel-apparaten. Standaard is de applicatie inactief; Maar omdat het deel uitmaakt van het firmware-image, kunnen miljoenen telefoons deze applicatie op systeemniveau uitvoeren. Gebruikers kunnen Showcase.apk niet zelf verwijderen. Volgens Verizon is er momenteel een update in de maak die de inactieve software verwijdert en die zal beschikbaar zijn “voor alle betrokken OEM’s”.

Ontworpen voor Verizon

Volgens berichten in de media is Showcase.apk afkomstig van Smith Micro, een bedrijf dat externe toegang, ouderlijk toezicht en software voor het wissen van gegevens biedt. “Dit is geen Android-platform of een Pixel-kwetsbaarheid.” Google vertelde Forbes. De app is ontwikkeld als demo voor de Amerikaanse mobiele winkels van Verizon, maar wordt niet meer gebruikt. Om de applicatie te activeren, zijn fysieke toegang tot het apparaat en een gebruikerswachtwoord vereist.

Een woordvoerder van het bedrijf vertelde Forbes dat deze functie niet langer door Verizon en ook niet door consumenten wordt gebruikt. Noch iVerify, noch Verizon hebben enig bewijs gevonden dat er misbruik werd gemaakt van de kwetsbaarheid. Uit voorzorg wordt de bètafunctionaliteit van alle apparaten verwijderd.

De ontdekking van Showcase.apk en soortgelijke incidenten benadrukken de behoefte aan meer transparantie en discussie rond applicaties van derden die deel uitmaken van het besturingssysteem. Het probleem is overigens niet nieuw – en beperkt zich ook niet tot Pixel-smartphones: het dateert uit 2016 Eén persoon heeft een klacht ingediend bij VerizonDat er een “Verizon Store Beta Mode App” op zijn Samsung Galaxy Note 5 stond.

(Mac)