Googles flaggskepp, Google Pixel, har ett synnerligen allvarligt säkerhetshål som kan exploateras av obehöriga – och det gäller i stort sett alla modeller av telefonen.
Buggen finns i ett Android-program som de flesta användare inte ser, inte vet att det finns där och som de inte heller använder. Säkerhetshålet finns i ett mjukvarupaket som heter “Showcase.apk”, som körs på systemnivå och som används för att kunna köra telefonen i ett demo-läge – avsett för butiker.
Demoläge
Appen utvecklades av Smith Micro för Verizon – det är alltså inte Googles egen programvara. Ändå har appen skickats med i varje Android-version för Pixel-telefonen och appen körs med omfattande systemprivilegier, inklusive fjärrkörning av kod och fjärrinstallation av programvara. Ännu mer riskabelt är applikationen designad för att ladda ner en konfigurationsfil över en okrypterad HTTP-webbförbindelse som iVerify-forskare säger skulle kunna kapas av en angripare för att ta kontroll över applikationen och sedan hela enheten.
Maj
iVerify meddelade sin upptäckt till Google i början av maj men ännu har sökjätten inte släppt någon uppdatering eller buggfix för att åtgärda säkerhetshålet. Googles talesperson Ed Fernandez säger till WIRED i ett uttalande att Showcase “inte längre används” av Verizon, och Android kommer att ta bort Showcase från alla Pixel-enheter med en mjukvaruuppdatering “under de kommande veckorna.” Han tillade att Google inte har sett bevis på aktivt utnyttjande och att appen inte finns i de nya enheterna i Pixel 9-serien som Google lanserade helt nyligen.
0 kommentarer