W zabezpieczeniach smartfonów Pixel znaleziono poważną lukę

W ostatnich latach Pixele miały zwykle kiepski start, bo wystarczyło, że urządzenia trafiły w ręce pierwszych klientów, a już dowiadywaliśmy się o jakichś problemach, niedociągnięciach i usterkach. Premiera Pixeli 9 już za nami, ale najnowsze wieści wyjątkowo nie dotyczą tegorocznych modeli, jednak na pewno psują trochę klimat świętowania debiutu serii. Jak bowiem donosi firma zajmująca się cyberbezpieczeństwem iVerify, „bardzo duży procent” urządzeń Pixel, które zostały dostarczone od 2017 roku, zawierał poważną lukę w zabezpieczeniach, która mogła zostać użyta przez hakerów. O co dokładnie chodzi?

Technologia wykrywania i reagowania na incydenty w punktach końcowych (EDR), należąca do iVerify, pozwoliła wykryć niebezpieczne urządzenie Pixel z systemem Android w firmie Palantir Technologies na początku tego roku. iVerify wszczęło wspólne dochodzenie z Palantir i Trail of Bits i wkrótce odkryli pakiet Androida o nazwie Showcase.apk. Kod tego pakietu służy do przekształcania telefonów w urządzenia demonstracyjne, pokazywane np. w sklepach, by klienci mogli przyjrzeć się im bliżej.

Okazuje się jednak, że pakiet zawiera również uprawnienia systemowe wysokiego poziomu, całkowicie niepotrzebne, takie jak zdalne wykonywanie kodu i zdalne możliwości instalacji pakietów. Innymi słowy, taka luka pozwala cyberprzestępcom na przejęcie urządzenia bez naszej zgody, w celu dokonania kradzieży danych czy pieniędzy.

Luka w zabezpieczeniach aplikacji sprawia, że ​​miliony urządzeń z Androidem Pixel są podatne na ataki typu man-in-the-middle, co daje cyberprzestępcom możliwość wstrzykiwania złośliwego kodu i niebezpiecznego oprogramowania szpiegującego. Cyberprzestępcy mogą wykorzystywać luki w zabezpieczeniach infrastruktury aplikacji do wykonywania kodu lub poleceń powłoki z uprawnieniami systemowymi na urządzeniach z Androidem, aby przejmować urządzenia w celu dokonywania cyberprzestępstw i naruszeń – tłumaczą badacze.

Na szczęście Google już został poinformowany o problemie i przygotowuje stosowną poprawkę dla urządzeń Pixel. Jak to się mówi – lepiej późno niż wcale.