Milioni di telefoni Pixel venivano spediti con un software di accesso remoto che li rendeva vulnerabili agli spyware, ma solo se l’autore del reato aveva accesso fisico al dispositivo, immetteva la password dell’utente e sapeva come attivare il software normalmente invisibile e inattivo, secondo Google. . In queste circostanze un utente malintenzionato può installare anche qualsiasi altro software. Il software di manutenzione remota sarebbe stato installato su richiesta di Verizon sin dal lancio dei telefoni Pixel nel 2017. L’azienda statunitense di telefonia mobile ha utilizzato il software per esporre i telefoni Pixel nei suoi punti vendita.
annuncio
Non è ancora chiaro se siano interessati anche i telefoni Android diversi dal Pixel. Sfruttamento attivo sconosciuto. La vulnerabilità è stata rilevata dallo scanner Endpoint Detection and Response (EDR). Di Iverify Sul cellulare del cliente. iVerify, in collaborazione con il cliente interessato Palantir e la società di sicurezza Trail of Bits, è riuscito a risalire a un pacchetto software Android nascosto. Anche se il software non viene più utilizzato, è ancora presente nelle foto del tuo smartphone Pixel, Come ha osservato Dan Guido, CEO di Trail of Bits, su X.
Infatti, è ancora possibile scaricare immagini firmware per dispositivi Pixel dai server ufficiali di Google, che contengono una directory priv-app con Showcase.pkg menzionato in Product.img, dove viene utilizzato heise online Immagini Android 14.0 per Pixel 8a può essere verificato.
Secondo iVerify, una volta attivata, l’app scarica un file di configurazione su una connessione non protetta, che può portare all’esecuzione di codice a livello di sistema. Il file di configurazione viene recuperato da un dominio ospitato su AWS tramite HTTP non sicuro, rendendo la configurazione e il dispositivo vulnerabili a codice dannoso, spyware ed eliminazione dei dati.
Il pacchetto interessato era precedentemente installato nel firmware dei dispositivi Pixel. Per impostazione predefinita, l’applicazione è inattiva; Ma poiché fa parte dell’immagine del firmware, milioni di telefoni possono eseguire questa applicazione a livello di sistema. Gli utenti non possono disinstallare Showcase.apk da soli. Un aggiornamento che rimuove il software inattivo è attualmente in lavorazione, secondo Verizon, e sarà disponibile “per tutti gli OEM interessati”.
Progettato per Verizon
Secondo i resoconti dei media, Showcase.apk proviene da Smith Micro, una società che fornisce accesso remoto, controllo genitori e software di cancellazione dei dati. “Questa non è una piattaforma Android né una vulnerabilità Pixel.” Lo ha detto Google a Forbes. L’app è stata sviluppata come demo per i negozi mobili di Verizon negli Stati Uniti, ma non è più in uso. Per attivare l’applicazione è necessario l’accesso fisico al dispositivo e la password dell’utente.
Un portavoce dell’azienda ha detto a Forbes che questa funzionalità non è più utilizzata da Verizon né dai consumatori. Né iVerify né Verizon hanno trovato alcuna prova che la vulnerabilità sia stata sfruttata. A titolo precauzionale, la funzionalità beta verrà rimossa da tutti i dispositivi.
La scoperta di Showcase.apk e di incidenti simili evidenziano la necessità di maggiore trasparenza e discussione sulle applicazioni di terze parti che fanno parte del sistema operativo. Il problema, tra l’altro, non è nuovo e non riguarda solo gli smartphone Pixel: risale al 2016 Una persona si è lamentata con VerizonChe sul suo Samsung Galaxy Note 5 c’era una “app Verizon Store Beta Mode”.
(Mac)