Google usuwa aplikację z urządzeń Pixel po tym, jak twierdzi, że naraża ona telefony na ataki

Google i firma zajmująca się cyberbezpieczeństwem spierają się w związku z zarzutami, że aplikacja na telefony z Androidem naraża urządzenia na cyberataki i oprogramowanie szpiegowskie.

Firma zajmująca się cyberbezpieczeństwem iVerify ogłosiła to w czwartek Opublikowany Zgłoszenie instalacji pakietu Androida o nazwie „Showcase.apk” na dużej liczbie urządzeń Pixel sprzedawanych na całym świecie od września 2017 r.

Według iVerify kod Showcase.apk działa w całym systemie i ma za zadanie przekształcić telefon w urządzenie w wersji beta, zasadniczo zmieniając sposób działania systemu operacyjnego.

Aplikacja „naraża miliony urządzeń Pixel z Androidem na ataki typu man-in-the-middle (MITM), dając cyberprzestępcom możliwość wstrzykiwania niebezpiecznego, złośliwego kodu i oprogramowania szpiegującego” – podała firma.

Badacze z iVerify powiedzieli, że odkryli aplikację na urządzeniu używanym przez pracownika giganta technologicznego Palantir.

Dyrektor Palantir powiedział, że iVerify na początku tego roku sklasyfikowało znajdujące się w firmie urządzenie z Androidem jako niebezpieczne, co spowodowało wszczęcie dochodzenia. Rzecznik Palantir potwierdził ustalenia iVerify, że pakiet aplikacji „udostępnia system operacyjny hakerom”.

„W ciągu najbliższych kilku lat Palantir całkowicie wycofa urządzenia z Androidem, nie tylko ze względu na tę lukę, ale także z powodu wcześniejszych odkryć” – powiedział rzecznik firmy.

Google odpowiedział na zapytania Recorded Future News i odrzucił wiele twierdzeń iVerify, wyjaśniając, że problemem nie jest „ani Android, ani Pixel”.

Rzecznik Google powiedział, że pakiet został opracowany przez firmę Smith Micro zajmującą się oprogramowaniem do zdalnego dostępu dla firmy Verizon, która umieściła go na urządzeniach do celów demonstracyjnych w sklepach, ale już go nie używa.

Rzecznik Google powiedział: „Wykorzystywanie tej aplikacji na telefonie użytkownika wymaga fizycznego dostępu do urządzenia i hasła użytkownika. Nie widzieliśmy żadnych dowodów na jakiekolwiek aktywne wykorzystanie”.

„Ze względów ostrożności usuniemy tę aplikację ze wszystkich obsługiwanych urządzeń Pixel dostępnych na rynku wraz z następną aktualizacją oprogramowania Pixel. Aplikacja nie jest dostępna na urządzeniach Pixel z serii 9. Powiadamiamy również inne urządzenia z Androidem [original equipment manufacturers]„.”

Rzecznik Google dodał, że aplikacja jest własnością firmy Verizon i jest przez nią wymagana na wszystkich urządzeniach z Androidem, zauważając, że z raportu iVerify wynika, że ​​nie znaleziono żadnych dowodów na wykorzystanie zgłoszonych luk na urządzeniach, które nie mają aplikacji Showcase włączone, chyba że atakujący ma fizyczny dostęp do urządzenia i włączony jest tryb programisty.

Dyrektor Verizon powiedział, że jest świadomy problemu, ale powiedział Recorded Future News, że możliwość włączenia wersji demonstracyjnych urządzeń z Androidem w sklepach „nie jest już używana przez Verizon w sklepach i nie jest używana przez konsumentów”.

„Nie zaobserwowaliśmy żadnych dowodów na wykorzystanie tego zjawiska. W ramach zachowania ostrożności Android zamknął te aplikacje. [original equipment manufacturers] „Usuniemy tę wersję beta ze wszystkich obsługiwanych urządzeń” – powiedział rzecznik Verizon.

Współzałożyciel iVerify, Rocky Cole, kwestionuje ocenę Google, mówiąc Recorded Future News, że Google „podjął decyzję biznesową o udostępnieniu oprogramowania Verizon wszystkim użytkownikom Pixela bez umożliwienia im jego usunięcia”.

„Pomysł, że do wykorzystania pakietu niezbędny jest dostęp fizyczny, to tylko założenie” – powiedział Cole. „Jest to luka w systemie Android, niezależnie od tego, co twierdzi Google”.

Według iVerify część problemu polega na tym, że aplikacja działa na poziomie systemu, umożliwiając komuś „zasadniczą zmianę systemu operacyjnego telefonu”. iVerify poinformowało, że wysłało raport o problemie do Google, ale nigdy nie zostało poinformowane, czy Google planuje wydać łatkę lub usunąć oprogramowanie.

Badacze z iVerify stwierdzili, że użytkownicy nie byli w stanie samodzielnie usunąć aplikacji i że stworzyła ona „niezaufany ekosystem”, co zmusiło liderów ds. bezpieczeństwa „do wyboru pomiędzy ryzykiem zezwolenia na uruchamianie niepotrzebnego oprogramowania na telefonach pracowników a całkowitym zablokowaniem urządzeń z Androidem”.

„Chociaż nie ma dowodów sugerujących, że luka ta jest aktywnie wykorzystywana, niemniej jednak ma ona poważne konsekwencje dla środowisk korporacyjnych, w których miliony telefonów z Androidem trafiają codziennie do miejsc pracy” – powiedział Cole.

Badacze firmy uważają, że cyberprzestępcy mogą wykorzystać luki w infrastrukturze aplikacji, aby przejąć kontrolę nad urządzeniem lub wykorzystać je do dystrybucji innych złośliwych pakietów dla Androida.

Badacze zastanawiali się także, dlaczego Google musiał instalować aplikację innej firmy na każdym urządzeniu Pixel, „kiedy tylko bardzo mała liczba urządzeń potrzebuje Showcase.apk”.

„Na większości analizowanych urządzeń aplikacja była domyślnie wyszarzona i trzeba ją było włączyć ręcznie” – stwierdzili badacze iVerify, dodając, że zmienili sposób włączania aplikacji, ale przestrzegli, że „mogą istnieć inne sposoby włączenia aplikacji lub sytuacje, w których aplikacja jest włączona.” „domyślnie”.