Mobiel beveiligingsbedrijf iVerify heeft een kwetsbaarheid ontdekt in Google Pixel-smartphones. Volgens iVerify, een stukje software van derden met diepe systeemtoegang is de schuldige, en het is zorgwekkend dat dit bij “een zeer groot percentage Pixel-apparaten” wordt geleverd. […] “Sinds september 2017.”
Het probleem betreft Showcase.apk, een klein programma gemaakt voor Verizon dat wordt gebruikt om Pixel-apparaten in demomodus te zetten terwijl ze in winkels worden tentoongesteld. De software downloadt een configuratiebestand via een niet-gecodeerde internetverbinding, waardoor kwaadwillende actoren – vanwege de diepe toegang van Showcase – op afstand code kunnen uitvoeren of een pakket op het apparaat kunnen installeren.
Het meest verontrustende deel van deze ontdekking is dat Showcase niet op gebruikersniveau kan worden verwijderd. Hoewel het standaard niet is ingeschakeld, zei iVerify dat er mogelijk meerdere manieren zijn om het programma te activeren. iVerify heeft Google in mei op de hoogte gebracht van deze kwetsbaarheid; Tot nu toe is er geen bevestigd bewijs van de exploitatie ervan in het wild.
Dat zegt een Google-woordvoerder Een Google-vertegenwoordiger verklaarde dat Showcase “niet langer in gebruik” is door Verizon en dat Google “in de komende weken” een software-update zal uitrollen om de software van alle Pixel-apparaten te verwijderen. Bovendien zei de vertegenwoordiger dat Showcase niet aanwezig is in de reeks apparaten die zijn aangekondigd tijdens het Made by Google-evenement van deze week.
‘Reader. Furious humble travel enthusiast. Extreme food scientist. Writer. Communicator.’