Gli smartphone Pixel vengono consegnati tramite manutenzione remota discreta ma inattiva

Date:

Share post:

Giampaolo Lettiere
Giampaolo Lettiere
"Esperto di birra per tutta la vita. Appassionato di viaggi in generale. Appassionato di social media. Esperto di zombi. Comunicatore."

Milioni di telefoni Pixel venivano spediti con un software di accesso remoto che li rendeva vulnerabili agli spyware, ma solo se l’autore del reato aveva accesso fisico al dispositivo, immetteva la password dell’utente e sapeva come attivare il software normalmente invisibile e inattivo, secondo Google. . In queste circostanze un utente malintenzionato può installare anche qualsiasi altro software. Il software di manutenzione remota sarebbe stato installato su richiesta di Verizon sin dal lancio dei telefoni Pixel nel 2017. L’azienda statunitense di telefonia mobile ha utilizzato il software per esporre i telefoni Pixel nei suoi punti vendita.

annuncio


Non è ancora chiaro se siano interessati anche i telefoni Android diversi dal Pixel. Sfruttamento attivo sconosciuto. La vulnerabilità è stata rilevata dallo scanner Endpoint Detection and Response (EDR). Di Iverify Sul cellulare del cliente. iVerify, in collaborazione con il cliente interessato Palantir e la società di sicurezza Trail of Bits, è riuscito a risalire a un pacchetto software Android nascosto. Anche se il software non viene più utilizzato, è ancora presente nelle foto del tuo smartphone Pixel, Come ha osservato Dan Guido, CEO di Trail of Bits, su X.

Infatti, è ancora possibile scaricare immagini firmware per dispositivi Pixel dai server ufficiali di Google, che contengono una directory priv-app con Showcase.pkg menzionato in Product.img, dove viene utilizzato heise online Immagini Android 14.0 per Pixel 8a può essere verificato.

Secondo iVerify, una volta attivata, l’app scarica un file di configurazione su una connessione non protetta, che può portare all’esecuzione di codice a livello di sistema. Il file di configurazione viene recuperato da un dominio ospitato su AWS tramite HTTP non sicuro, rendendo la configurazione e il dispositivo vulnerabili a codice dannoso, spyware ed eliminazione dei dati.

Il pacchetto interessato era precedentemente installato nel firmware dei dispositivi Pixel. Per impostazione predefinita, l’applicazione è inattiva; Ma poiché fa parte dell’immagine del firmware, milioni di telefoni possono eseguire questa applicazione a livello di sistema. Gli utenti non possono disinstallare Showcase.apk da soli. Un aggiornamento che rimuove il software inattivo è attualmente in lavorazione, secondo Verizon, e sarà disponibile “per tutti gli OEM interessati”.

Secondo i resoconti dei media, Showcase.apk proviene da Smith Micro, una società che fornisce accesso remoto, controllo genitori e software di cancellazione dei dati. “Questa non è una piattaforma Android né una vulnerabilità Pixel.” Lo ha detto Google a Forbes. L’app è stata sviluppata come demo per i negozi mobili di Verizon negli Stati Uniti, ma non è più in uso. Per attivare l’applicazione è necessario l’accesso fisico al dispositivo e la password dell’utente.

Un portavoce dell’azienda ha detto a Forbes che questa funzionalità non è più utilizzata da Verizon né dai consumatori. Né iVerify né Verizon hanno trovato alcuna prova che la vulnerabilità sia stata sfruttata. A titolo precauzionale, la funzionalità beta verrà rimossa da tutti i dispositivi.

La scoperta di Showcase.apk e di incidenti simili evidenziano la necessità di maggiore trasparenza e discussione sulle applicazioni di terze parti che fanno parte del sistema operativo. Il problema, tra l’altro, non è nuovo e non riguarda solo gli smartphone Pixel: risale al 2016 Una persona si è lamentata con VerizonChe sul suo Samsung Galaxy Note 5 c’era una “app Verizon Store Beta Mode”.


(Mac)

Related articles

Il Futuro della Manicure: Polveri Acriliche di Nuova Generazione

Nel mondo della bellezza, l'innovazione è sempre all'ordine del giorno, e il settore della manicure non fa eccezione....

Jan Böhmermann alla vigilia delle elezioni orientali: “Inondare gli abitanti della Turingia con acqua ghiacciata?”

Il noto autore satirico, che recentemente ha perso contro l'apicoltore di Dresda Rico Heinsig in una disputa legale...