Google Pixel-telefoons die sinds september 2017 zijn verkocht, bevatten standaard een inactieve app met 'buitensporige systeemrechten'. Dat meldt securitybedrijf iVerify. De app kan volgens iVerify in theorie gebruikt worden om een toestel over te nemen. Google gaat de app verwijderen.
De app in kwestie werd ontdekt door iVerify in samenwerking met surveillancebedrijf Palantir, blijkt uit een persbericht over de kwetsbaarheid. De EDR-software van iVerify markeerde een Android-apparaat van Palantir als onveilig. De twee bedrijven kwamen de applicatie tegen na een gezamenlijk onderzoek. De app in kwestie heet Showcase.apk en zou door Smith Micro Software gemaakt zijn voor telecomprovider Verizon. De app moet bedoeld zijn om telefoons in een demomodus voor winkels te zetten. Showcase is onderdeel van de firmware-image en zou dus op 'een zeer groot percentage' van de wereldwijd geleverde Pixel-apparaten staan, zegt iVerify.
De package is standaard verborgen en inactief. De app moet dan ook handmatig geactiveerd worden voordat deze uitgebuit kan worden. Volgens iVerify zijn er 'mogelijk' meerdere manieren om de app in te schakelen. Het securitybedrijf heeft zelf één daadwerkelijke manier onderzocht om de app in te schakelen. Daarvoor is fysieke toegang tot de smartphone vereist. IVerify deelt geen details over de methode om de app te activeren in zijn openbare rapporten.
Volgens het securitybedrijf is Showcase.apk ontworpen om een configuratiebestand op te halen over het HTTP-protocol. IVerify schrijft onder meer dat dat configuratiebestand aangepast kan worden voordat deze naar het toestel van het slachtoffer wordt gestuurd. De app draait op systeemniveau en heeft daarmee, wanneer deze daadwerkelijk geactiveerd is, 'diepgaande systeemprivileges'.
Daaronder vallen bijvoorbeeld mogelijkheden om op afstand code uit te voeren op het apparaat in kwestie. "Als Showcase.apk is ingeschakeld, wordt het besturingssysteem toegankelijk voor hackers en is het rijp voor man-in-the-middle-aanvallen, code-injectie en spyware", schrijft iVerify op donderdag. Het bedrijf heeft Google in mei op de hoogte gesteld van de kwetsbaarheid, meldt techwebsite Wired.
In een reactie aan Wired bevestigt Google dat de package gemaakt is voor winkeldemo's van Verizon en dat deze niet langer in gebruik is. De techgigant heeft geen aanwijzingen gezien dat de kwetsbaarheid actief wordt misbruikt. Google gaat de app van alle Pixel-toestellen verwijderen. Dat gebeurt 'in de komende weken' via een software-update, aldus het bedrijf. Het bedrijf heeft op het moment van schrijven geen publieke advisory gepubliceerd. Tweakers heeft Google om aanvullend commentaar gevraagd.
Palantir, dat hielp bij het onderzoek naar de kwetsbaarheid, geeft aan dat het Android-apparaten intern volledig gaat uitfaseren. “Google die software van derden in de firmware van Android inbouwt en dit niet bekendmaakt aan verkopers of gebruikers, creëert een aanzienlijke kwetsbaarheid voor iedereen die op dit ecosysteem vertrouwt", vertelt Dane Stuckey, chief information security officer van Palantir, aan Wired. Hij zegt daarbij dat de interacties met Google tijdens de disclosureperiode 'ons vertrouwen in het ecosysteem ernstig hebben aangetast'. "Om onze klanten te beschermen, hebben we de moeilijke beslissing moeten nemen om af te stappen van Android in onze onderneming.”
Source: Tweakers.net