Zamiast dyskutować o najnowszych smartfonach z serii Pixel 9, w najbliższym czasie fani urządzeń Google będą rozmawiać główne o poważnej i dużej luce bezpieczeństwa. Na czym ona polega i jakie urządzenia są narażone?
Pixele z dużą luką bezpieczeństwa
Pixele z roku na rok zyskują na popularności i nie ma w tym nic dziwnego. W końcu to bardzo udane smartfony, a kolejne modele podnoszą poprzeczkę jeszcze wyżej. Nie wszystko jednak jest w nich aż tak udane, a czasem na światło dzienne wychodzą nowe problemy. Tak też jest tym razem, gdyż ujawniono, że oprogramowanie ma dużą lukę bezpieczeństwa. Na czym ona polega?
Zgodnie z informacjami podanymi przez digitaltrends, luka istnieje w Pixelach sprzedawanych od 2017 roku i dotyka miliony smartfonów tej marki. Problem leży w pakiecie aplikacji „Showcase.apk”. To element oprogramowania Androida, mający dostęp do wielu uprawnień. Co ważne, jest on preinstalowany jedynie na Pixelach, inne urządzenia z Androidem nie mają go domyślnie i raczej nie są zagrożone.
Użytkownicy nie mogą go włączyć ani działać, pakiet „Showcase.apk” jest przed nimi ukryty. iVerify przeprowadziło jednak badania i dowiodło, że hakerzy mogą wykorzystać ten pakiet i wyrządzić szkody na telefonie, a nawet przeprowadzić ataki typu „man-in-the-middle”, wstrzykując złośliwe oprogramowanie. To rodzaj ataku, który polega na podsłuchu, a następnie zmianie informacji przesyłanych pomiędzy dwoma stronami.
W jaki sposób Pixele są zagrożone?
Wspomniany pakiet „Showcase.apk” korzysta ze standardu połączenia HTTP. To bardzo stary standard komunikacji, który może być wykorzystywany m.in. właśnie do pobierania zasobów konfiguracyjnych. Sęk w tym, że jest on niezabezpieczony, w przeciwieństwie do np. HTTPS. To sprawia, że jest podatny na ataki, a ukrycie go przed użytkownikami powoduje, że nie mogą oni go odinstalować.
iVerify miało powiadomić Google o swoim odkryciu na 90 dni przed upublicznieniem informacji o zagrożeniu, ale amerykański gigant nie dostarczył im informacji kiedy i czy naprawi usterkę. Rzecznik Google odniósł się do całej sytuacji w następujący sposób:
To nie jest platforma Android, ani luka Pixel, jest to APK opracowany przez Smith Micro dla urządzeń demonstracyjnych Verizon w sklepie i nie jest już używany. Wykorzystanie tej aplikacji na telefonie użytkownika wymaga zarówno fizycznego dostępu do urządzenia, jak i hasła użytkownika. Nie widzieliśmy żadnych dowodów aktywnego wykorzystania tej aplikacji. Ze względu na środki ostrożności usuniemy tę aplikację ze wszystkich obsługiwanych na rynku urządzeń Pixel wraz z nadchodzącą aktualizacją oprogramowania Pixel. Aplikacja nie jest obecna na urządzeniach z serii Pixel 9. Powiadomimy również innych producentów Androida.
Pozostaje jedynie sobie zadać pytanie: skoro miało to być tylko dla urządzeń demonstracyjnych, to dlaczego stało się częścią oprogramowania układowego Pixela?