Demo programa kelia pavojų milijonams išmaniųjų telefonų ir JAV žvalgybos saugumui.
„iVerify“ aptiko pažeidžiamumą programėlėje Showcase.apk, kuri nuo 2017 m. rugsėjo mėn. iš anksto įdiegta milijonuose Pixel įrenginių visame pasaulyje. Per didelės programėlės sisteminės privilegijos atveria kelią nuotoliniam kodo vykdymui ir kenkėjiškų paketų įdiegimui į įrenginį.
Ekspertai iš „iVerify“ ir bendrovių partnerių „Palantir Technologies“ bei „Trail of Bits“ atliko išsamų tyrimą, kurio metu paaiškėjo, kad „Showcase.apk“ yra „Pixel“ įrenginių programinės įrangos dalis ir yra įtraukta į OTA (over-the-air) atvaizdus. „Google“ dar nepasiūlė problemos sprendimo, o pačios programėlės negalima pašalinti standartiniu būdu.
Pasak „iVerify“, programėlę sukūrė Pensilvanijoje įsikūrusi bendrovė „Smith Micro Software“, kurianti nuotolinės prieigos programinę įrangą ir tėvų kontrolės priemones. Showcase.apk iš pradžių buvo skirta parduotuvės darbuotojams, kad jie galėtų pademonstruoti, kaip veikia įrenginiai. Kompanijos „Smith Micro“ atstovai ekspertų atradimo nekomentavo.
Programėlė parsisiunčia konfigūracijos failus iš to paties domeno per nesaugų HTTP protokolą, todėl perduodant duomenis galima suklastoti failus. Užpuolikas gali įsikišti į perdavimo procesą ir įvesti kenkėjišką kodą, kuris įvykdys komandas su sistemos privilegijomis, suteikdamas įsilaužėliui visišką įrenginio kontrolę. Be to, programa nepatikrina domeno, iš kurio atsisiunčiami konfigūracijos failai, autentiškumo, todėl problema dar labiau paaštrėja.
Techninės analizės metu ekspertai aptiko „Showcase.apk“ kodo trūkumų. Pavyzdžiui, programėlė neteisingai tikrina sertifikatus ir parašus, o tai leidžia kibernetiniam nusikaltėliui apeiti tikrinimo procesus atsisiunčiant failus. Be to, programėlė naudoja nuspėjamus URL adresus ryšiui su nutolusiu serveriu palaikyti, o tai palengvina įsilaužėlių darbą.
Atsižvelgdama į šiuos įvykius, „Palantir Technologies“, viena didžiausių duomenų analizės bendrovių, aptarnaujančių JAV žvalgybos agentūras, keleriems metams atsisakė „Android“ įrenginių ir savo viduje pirmenybę teikė „iPhone“ telefonams. Nors daugumoje įrenginių programa pagal numatytuosius nustatymus yra neaktyvi ir ją reikia įjungti rankiniu būdu, išlieka galimybė, kad Showcase.apk gali būti aktyvuota kitais būdais.
IVerify lygina rastą pažeidžiamumą su neseniai įvykusiu pasauliniu „Windows“ sutrikimu, kurį sukėlė „CrowdStrike“ programinės įrangos problemos. Showcase.apk pažeidžiamumas taip pat gali sukelti plataus masto pasekmes, nes klaida yra giliai įdiegta į sistemą.
Apie problemą „iVerify“ pranešė „Google“ daugiau nei prieš 3 mėnesius, tačiau iki šiol korporacija nesiėmė jokių veiksmų klaidai ištaisyti. Tik po to, kai buvo paskelbta ataskaita, „Google“ pažadėjo išleisti atnaujinimą, kuris pašalintų pavojingą programėlę iš palaikomų „Pixel“ įrenginių. Google atstovas spaudai sakė, kad pranešimai apie problemą bus išsiųsti ir kitiems Android įrenginių gamintojams.
Kol kas „Google“ neužfiksavo jokių pažeidžiamumo panaudojimo per „Showcase“ atvejų ir užtikrina, kad norint aktyvuoti pažeidžiamumą reikia fizinės prieigos prie įrenginio ir naudotojo slaptažodžio. Tačiau „Palantir“ atstovai mano, kad vien tokios programos buvimas „Google Pixel“ įrenginiuose kelia susirūpinimą, nes šie telefonų modeliai laikomi saugiausiais tarp „Android“ įrenginių. Taip pat neaišku, kodėl „Google“ iš anksto įdiegia šią programą visuose „Pixel“ įrenginiuose, nors iš tikrųjų ji naudojama tik ribotu skaičiumi atvejų.
Didėjant tokių incidentų skaičiui, ekspertai ragina imtis griežtesnių programinės įrangos saugumo priemonių, taip pat skaidresnio kūrimo ir testavimo proceso.