Z nowego badania wynika, że większość telefonów Google Pixel sprzedawanych od września 2017 r. zawiera oprogramowanie, za pomocą którego można zdalnie monitorować telefony użytkowników i nimi sterować. raport Od firmy zajmującej się cyberbezpieczeństwem iVerify.
Luka została odkryta po tym, jak skaner punktów końcowych i odpowiedzi (EDR) firmy iVerify oznaczył niezabezpieczone urządzenie z Androidem w Palantir Technologies, kliencie iVerify. Po rozpoczęciu wspólnego dochodzenia firmy iVerify, Palantir i Trail of Bits odkryły ukryty pakiet oprogramowania Android – Showcase.apk – na urządzeniach Google Pixel. Firma zajmująca się eksploracją danych Palantir, która sprzedaje swoje produkty do nadzoru rządom i firmom prywatnym, w odpowiedzi zablokowała urządzenia z Androidem w całej firmie.
„Posiadanie niezbadanego i niebezpiecznego oprogramowania stron trzecich było bardzo szkodliwe dla zaufania” – powiedział Dan Stuckey, dyrektor ds. bezpieczeństwa informacji w Palantir. Powiedział „Washington Post”.„Nie mamy pojęcia, jak ten problem się tu dostał, dlatego podjęliśmy decyzję o skutecznym wewnętrznym zablokowaniu urządzeń z Androidem”.
Według raportu iVerify oprogramowanie zostało opracowane przez firmę Smith Micro Software i wydaje się, że zostało stworzone dla Verizon na potrzeby demonstracji w sklepach. Raport iVerify wykazał, że aplikacja była domyślnie wyszarzona i wymagała ręcznego włączenia. „Po włączeniu Showcase.apk udostępnia system operacyjny hakerom i jest gotowy na ataki typu man-in-the-middle, wstrzykiwanie kodu i oprogramowanie szpiegujące. Wpływ tej luki jest znaczący i może prowadzić do naruszeń związanych z utratą danych o łącznej wartości miliardów dolarów ”- napisano w raporcie.
W oświadczeniu do KrawędźRzecznik Google, Ed Fernandez, powiedział, że oprogramowanie zostało stworzone „dla urządzeń demonstracyjnych w sklepach Verizon i nie jest już używane”, dodał, że Google „nie zaobserwował żadnych dowodów na jakiekolwiek aktywne wykorzystywanie”.
iVerify poinformowało Google o swoim raporcie na początku maja, według PrzewodowyFirma nie ujawniła publicznie luki ani nie wydała aktualizacji oprogramowania mającej na celu wyeliminowanie problemu. Przewodowy Według doniesień Android usunie aplikację ze wszystkich urządzeń Pixel „w nadchodzących tygodniach”, co potwierdził Fernandez Krawędź.
„To naprawdę denerwujące. Piksele powinny być czyste” – powiedział Stucki z Palantira The Verge. poczta„W telefonach Pixel wbudowany jest szereg narzędzi ochronnych”.