Showcase.APK может превратить ваш телефон в магнит для вредоносных программ
Компания iVerify, занимающаяся кибербезопасностью, недавно обнаружила серьезную уязвимость, затрагивающую миллионы смартфонов Pixel по всему миру, и опубликовала свои выводы в новом отчете. Согласно документу, программное обеспечение, о котором идет речь, называется Showcase.apk.
Первоначально он был разработан сторонней компанией Smith Micro Software для демонстрационных устройств в магазинах Verizon. Сотрудники в этих местах будут иметь глубокий доступ к многочисленным функциям телефона Pixel, чтобы «продемонстрировать, как они работают» заинтересованным клиентам. Обычно Showcase бездействует; Он ничего не делает. Тем не менее, достаточно опытный хакер может активировать его через бэкдор.
APK (Android Package Kit) получает файл конфигурации из незащищенного домена на Amazon Web Services. Теоретически злоумышленник может перехватить эти соединения или выдать себя за веб-сайт и внедрить на телефон Pixel вредоносное или шпионское ПО. Кроме того, поскольку Showcase имеет «чрезмерные системные привилегии», киберпреступникам легко скомпрометировать цель.
Что особенно пугает, так это то, что Showcase является частью экосистемы Google Pixel с сентября 2017 года. И хуже всего то, что обычный пользователь не может удалить APK через стандартный процесс удаления, поскольку он считается приложением системного уровня. iVerify заявляет, что «только Google может исправить» это.
Исправление идет полным ходом
Какими бы плохими ни были дела, есть и хорошие новости. Во-первых, похоже, никто, даже плохие актеры, не знали об этом подвиге. Представитель Google сообщил The Washington Post, что они не видели никаких атак, которые можно было бы отнести к Showcase. Они заявили, что нет никаких доказательств «активной эксплуатации», и даже предположили, что такая атака «маловероятна».
В Google хорошо знают об этой проблеме. Технический гигант сообщил Forbes, что они принимают меры «из соображений предосторожности» и планируют выпустить патч для всех «поддерживаемых устройств Pixel на рынке». Не беспокойтесь о серии Pixel 9, так как ни одна из четырех моделей не имеет Showcase.apk.
Компания Verizon также была проинформирована об этом отчете. Они заявляют, что больше не используют функцию Showcase, и точно так же перевозчик не увидел никаких доказательств продолжающейся эксплуатации. Однако, как и Google, Verizon удаляет эту функцию из поддержки телефонов «из-за избытка мер предосторожности».
Доступность патчей
Мы обратились к Google за разъяснениями, и тот же представитель поделился аналогичной информацией, хотя и добавил, что это не уязвимость Android или Pixel. Вместо этого технологический гигант указывает пальцем на Smith Micro. Они сообщают нам, что патч для телефонов Pixel будет выпущен в течение ближайшей недели, и Google уведомляет других производителей Android, подразумевая, что сторонние устройства могут иметь ту же проблему.
Ни слова о том, когда сторонние Android получат свое собственное исправление. Предположительно, все это происходит по воле других брендов.
Если вы ищете способы повысить безопасность устройства, ознакомьтесь с семью советами TechRadar о том, как обеспечить безопасность вашего смартфона.
Больше на
Subscribe to get the latest posts sent to your email.
