Ale wpadka. Google sprzedał miliony Pixeli z poważną luką w zabezpieczeniach

W tym tygodniu Google zaserwowało nam długo wyczekiwaną premierę serii Pixel 9 i oczy wszystkich skupiły się na nowych flagowcach producenta. Niestety, świętowanie zostało skutecznie zepsute przez badaczy zajmujących się cyberbezpieczeństwem i ich najnowszy raport.
Pixel 9
Pixel 9

W zabezpieczeniach smartfonów Pixel znaleziono poważną lukę

W ostatnich latach Pixele miały zwykle kiepski start, bo wystarczyło, że urządzenia trafiły w ręce pierwszych klientów, a już dowiadywaliśmy się o jakichś problemach, niedociągnięciach i usterkach. Premiera Pixeli 9 już za nami, ale najnowsze wieści wyjątkowo nie dotyczą tegorocznych modeli, jednak na pewno psują trochę klimat świętowania debiutu serii. Jak bowiem donosi firma zajmująca się cyberbezpieczeństwem iVerify, „bardzo duży procent” urządzeń Pixel, które zostały dostarczone od 2017 roku, zawierał poważną lukę w zabezpieczeniach, która mogła zostać użyta przez hakerów. O co dokładnie chodzi?

Czytaj też: Debiutuje seria Google Pixel 9 – obudowa jak w iPhonie i dużo sztucznej inteligencji

Technologia wykrywania i reagowania na incydenty w punktach końcowych (EDR), należąca do iVerify, pozwoliła wykryć niebezpieczne urządzenie Pixel z systemem Android w firmie Palantir Technologies na początku tego roku. iVerify wszczęło wspólne dochodzenie z Palantir i Trail of Bits i wkrótce odkryli pakiet Androida o nazwie Showcase.apk. Kod tego pakietu służy do przekształcania telefonów w urządzenia demonstracyjne, pokazywane np. w sklepach, by klienci mogli przyjrzeć się im bliżej.

Okazuje się jednak, że pakiet zawiera również uprawnienia systemowe wysokiego poziomu, całkowicie niepotrzebne, takie jak zdalne wykonywanie kodu i zdalne możliwości instalacji pakietów. Innymi słowy, taka luka pozwala cyberprzestępcom na przejęcie urządzenia bez naszej zgody, w celu dokonania kradzieży danych czy pieniędzy.

Czytaj też: Pixel Watch 3 – wszystko, co musisz wiedzieć. Co zaoferuje nowy zegarek Google?

Luka w zabezpieczeniach aplikacji sprawia, że miliony urządzeń z Androidem Pixel są podatne na ataki typu man-in-the-middle, co daje cyberprzestępcom możliwość wstrzykiwania złośliwego kodu i niebezpiecznego oprogramowania szpiegującego. Cyberprzestępcy mogą wykorzystywać luki w zabezpieczeniach infrastruktury aplikacji do wykonywania kodu lub poleceń powłoki z uprawnieniami systemowymi na urządzeniach z Androidem, aby przejmować urządzenia w celu dokonywania cyberprzestępstw i naruszeń – tłumaczą badacze.

Na szczęście Google już został poinformowany o problemie i przygotowuje stosowną poprawkę dla urządzeń Pixel. Jak to się mówi – lepiej późno niż wcale.

Ze względów bezpieczeństwa usuniemy tę funkcję ze wszystkich obsługiwanych urządzeń Pixel dostępnych na rynku wraz z nadchodzącą aktualizacją oprogramowania Pixel — powiedział The Washington Post rzecznik Google, Ed Fernandez.