Bardzo nietypowa luka bezpieczeństwa znalazła się w smartfonach Google Pixel – alarmują badacze z iVerify. Dlaczego nietypowa? Bo wynika z obecności fabrycznej aplikacji, która w dodatku nie jest w ogóle potrzebna użytkownikowi.
Google dopiero co zaprezentował smartfony z serii Pixel 9, a tymczasem okazuje się, że nie tylko one, ale dokładnie wszystkie modele tego producenta od września 2017 roku mają poważny błąd bezpieczeństwa. W dodatku może on uchodzić za dość absurdalny, gdyż wynika z obecności w pamięci aplikacji Showcase.apk – narzędzia wykorzystywanego przez telekom Verizon do prezentacji możliwości urządzenia.
Felerne oprogramowanie, mimo iż ma dość wąskie zastosowanie, stanowi komponent oprogramowania układowego wszystkich Pixeli na całym świecie. Należy więc przyjąć, że większość posiadaczy w ogóle nie wie o jego istnieniu, a to niedobrze.
Jak podają eksperci z iVerify, aplikacja pobiera pliki konfiguracyjne poprzez niezabezpieczony przed ingerencją z zewnątrz protokół HTTP z jednej tylko domeny hostowanej w infrastrukturze Amazona. Zwrócono uwagę, że potencjalny napastnik może bez większego trudu wykorzystać tę podatność do odpalenia szkodliwego kodu, albo wykonania komend powłoki z uprawnieniami admina.
Niestety jako że mamy do czynienia z appką systemową, nie można tak po prostu jej usunąć. Potrzebna jest aktualizacja po stronie producenta. Ten obiecał, że niebawem zajmie się tematem, jednak kwestią otwartą pozostaje, kiedy dokładnie to nastąpi. Miejmy nadzieję, że przy najbliższej aktualizacji.
Co ciekawe, wadliwe narzędzie nie jest dziełem Google. Stworzyła je natomiast spółka Smith Micro, specjalizująca się w filtrach rodzicielskich i aplikacjach do kontroli zdalnej. Uzasadnione pytanie: dlaczego tego rodzaju twór, dodatkowo o tak wąskim zastosowaniu, w ogóle stał się komponentem firmware'u.
Źródło zdjęć: Tada Images / Shutterstock
Źródło tekstu: Android Authority, oprac. własne
