У вашего Pixel есть опасная уязвимость в программном обеспечении
Менее чем через 48 часов после того, как Google представил миру линейку Pixel 9, появилась новость, которая может поставить крест на праздновании компании: с 2017 года Pixel поставляются с серьезной уязвимостью безопасности, встроенной в их прошивку, которую пользователь не может удалить или исправить.
Новость пришла от iVerify, компании, занимающейся "мобильным поиском уязвимостей", и Palantir Technologies, компании, разрабатывающей программное обеспечение для анализа данных. iVerify объявила об обнаружении уязвимости в блоге в четверг, предупредив, что эта проблема безопасности подвергает риску Android на Pixel-устройствах атаки "человек посередине", а также установку вредоносного ПО и шпионского ПО.
Как работает эта уязвимость
Уязвимость связана с пакетом приложения Showcase.apk на Android, который установлен на "очень большом проценте" Pixel-устройств (iVerify не называет точных цифр, но утверждает, что миллионы Pixel-устройств подвержены риску). Showcase.apk якобы работает в "высоко привилегированном контексте", что означает, что он имеет разрешения, позволяющие влиять на ОС вашего телефона. Это включает в себя возможность удаленного выполнения кода и удаленной установки пакетов, что позволяет удаленным актерам либо запускать свой собственный код, либо устанавливать собственные программы на устройстве.
В то время как это то, что позволяет плохим актерам потенциально захватить ваш телефон, им сначала нужен входной пункт. Это происходит из-за того, как Showcase.apk общается со своим хостом: пакет разработан для загрузки файлов по незащищенному HTTP-соединению, которое плохой актер может использовать для получения доступа к вашему Pixel. В теории, все это может позволить плохим актерам вводить вредоносное ПО и шпионское ПО на ваш Pixel и манипулировать ОС по своему усмотрению.
Прежде чем сообщество Pixel впадает в панику, нет сообщений о том, что уязвимость в настоящее время активно эксплуатируется. iVerify утверждает, что Showcase.apk не включен по умолчанию и требует ручного вмешательства для включения. iVerify удалось активировать пакет приложения, но не будет раскрывать, как они это сделали. Похоже, что для этого требуется физический доступ к телефону, но злонамеренные пользователи теоретически могли бы активировать Showcase.apk удаленно.
Откуда это взялось?
Почему такой пакет приложений находится на таком количестве Pixel-устройств в первую очередь? iVerify утверждает, что Showcase.apk был разработан Smith Micro, которое создает пакеты приложений для parental control, удаленных инструментов доступа и программ для удаления данных. iVerify заявляет, что Smith Micro разработала Showcase.apk в качестве программы для Verizon, чтобы превращать телефоны в демонстрационные единицы при отображении в магазине. Если вы когда-либо использовали смартфон в магазине, таком как Verizon, вы знаете, что Android, работающий на этом телефоне, отличается от Android на личном устройстве: программы, подобные Showcase.apk, помогают этого добиться.
Это все хорошо и хорошо для демонстрационных единиц, но непонятно, как пакет .apk попал на все эти личные Pixel-устройства. Вашему Pixel не нужна программа для активации "демо-режима", и нет причин, по которым программа должна иметь такие высокие системные привилегии. Это сочетание подвергает миллионы пользователей ненужному риску.
На самом деле, Palantir заявляет, что прекращает использование Pixel-устройств из-за этого инцидента и будет переходить на устройства Apple в течение следующих нескольких лет. Однако iVerify сообщил Wired, что другие Android-устройства также могут быть затронуты, и они связались с другими производителями Android, чтобы сообщить им об этой проблеме.
Что вы можете сделать?
К сожалению, лично вы ничего не можете сделать, чтобы избавиться от Showcase.apk, кроме как купить iPhone. iVerify утверждает, что этот пакет встроен в прошивку Pixel и является частью версии Android, которую вы загружаете напрямую от Google. iVerify сообщила об этом Google в мае, и Google сказал Wired, что в ближайшие недели выйдет программное обновление для удаления Showcase.apk с Pixel-устройств. Надеюсь, если другие Android-устройства имеют этот пакет приложения, это обновление также будет доступно для них. Google также подтвердил, что ни одно из устройств линейки Pixel 9 не содержит пакет приложения. Но пока Showcase.apk останется на вашем Pixel до тех пор, пока не выйдет это обновление.
