Google уверяет, что её смартфоны Pixel отличаются повышенной безопасностью, ведь на них установлена чистая ОС Android якобы без надстроек и стороннего ПО. Но, как выяснили эксперты по кибербезопасности из компании iVerify, на все телефоны серии с сентября 2017 года устанавливается скрытое приложение стороннего разработчика, которое делает их уязвимыми для взлома.
Речь идёт о пакете под названием Showcase.apk, который работает на системном уровне и остаётся невидимым для пользователя. Его создал для американского оператора Verizon разработчик корпоративного ПО Smith Micro — приложение служит для перевода телефонов в демонстрационный режим в розничных магазинах, и Google к нему отношения не имеет. Но вот уже почти семь лет оно включается в каждый выпуск Android для Pixel и имеет глубокие системные привилегии, включая удалённое выполнение кода и удалённую установку другого ПО. Кроме того, приложение позволяет загружать файл конфигурации через незащищённое HTTP-соединение, которое может перехватить потенциальный злоумышленник, чтобы получить контроль над приложением, а затем и над всем устройством жертвы.
Компания iVerify доложила о своём открытии Google ещё в начале мая, но технологический гигант до сих пор эту проблему не решил. Приложение «больше не используется» Verizon, и «в ближайшие недели» с очередным обновлением Android оно будет удалено со всех поддерживаемых устройств Pixel, пообещал представитель Google Эд Фернандес (Ed Fernandez) изданию Wired. Showcase действительно ранее использовался для демонстраций в розничных магазинах, но уже не применяется, подтвердили в Verizon. В Smith Micro комментариев не предоставили.
Хотя Showcase.apk и представляет собой опасную уязвимость для телефонов, по умолчанию приложение отключено. Это значит, что для его использования в злонамеренных целях потенциальному киберпреступнику потребовался бы физический доступ к телефону жертвы для запуска приложения. Существует также вероятность, что Showcase.apk установлено не только на телефоны Pixel, но и на устройства других производителей, заявили в iVerify. И это косвенно подтвердил Эд Фернандес из Google — он заявил, что «мы также извещаем других OEM-производителей Android».