Chyba zabezpečení obsažená v každé verzi Androidu pro předchozí modely Google Pixel bude brzy opravena, ale kupující Pixel 9 se nemusí obávat.
Většina smartphonů Google Pixel prodávaných od září 2017 obsahuje potenciálně nebezpečný kousek kódu ve skryté aplikaci. Takový, který by mohl být použit k poskytnutí značného přístupu k zařízení útočníkovi.
Bezpečnostní výzkumníci z iVerify objevili problém, když skener detekce hrozeb objevil podivné ověření aplikace Obchod Google Play na zařízení používaném někým z Palantir. Kabelové zprávy iVerify a Palantir spolupracovali na nalezení a zveřejnění problémů společnosti Google.
Problém pramení z balíčku pro Android od třetí strany s názvem Showcase.apk. Byl vyvinut společností Smith Micro, aby pomohl Verizonu uvést telefony z obchodu do maloobchodního demo režimu.
Aplikace má však oprávnění včetně vzdáleného spouštění kódu a vzdálené instalace softwaru, což může být nebezpečné, když jej použije útočník.
Má také schopnost stáhnout konfigurační soubor přes nešifrované webové připojení HTTP. To je nebezpečné, protože by to pro útočníka mohlo být vektor, jak unést software a použít jej pro své vlastní účely.
Přestože společnost Verizon Showcase již nepoužívá, soubor APK byl stále součástí sestav pro Android, které jsou součástí smartphonů Google Pixel.
Navzdory odhalení na začátku května Google ještě problém nevyřešil, ale má v úmyslu zacelit bezpečnostní díru. Soubor APK není přítomen v žádném zařízení Pixel 9 a Google říká, že bude odstraněn ze všech podporovaných zařízení Pixel s aktualizací softwaru během několika týdnů.
Přestože Google může být v procesu řešení problému, iVerify se domnívá, že aplikace Showcase mohla být vložena i do jiných zařízení Android. Google uvedl, že pro jistotu informuje i ostatní výrobce Androidu.
Vydání Showcase ukazuje problémy spojené se začleněním aplikací nebo softwaru třetích stran do vydání operačního systému. Ukazuje také, že starý kód může být stále zahrnut, přestože není aktivně používán, a stále může být vektorem útoku.
Zařízení se systémem Android se také často prodávají s řadou předinstalovaných aplikací nebo bloatware s běžnou stížností, že jsou nežádoucí a často zabírají úložnou kapacitu.
Naproti tomu Apple přestal zahrnovat aplikace třetích stran ve verzích iOS a iPadOS, které instaluje na iPhone a iPad. Zahrnovala aplikaci YouTube jako předinstalovanou aplikaci, ale v iOS 6 byla odstraněna a společnost Google dodávala a přímo spravovala vlastní vydání aplikace.
Zdroj: appleinsider.com