预装易受攻击的应用程序可能导致数百万谷歌 Pixel 手机遭到黑客攻击

admin 2024年8月17日13:19:09评论10 views字数 1620阅读5分24秒阅读模式

导 

自 2017 年 9 月以来,许多 Google Pixel 设备都包含可能被攻击者利用来入侵的休眠软件。

预装易受攻击的应用程序可能导致数百万谷歌 Pixel 手机遭到黑客攻击

移动安全公司 iVerify 的研究人员报告称,该问题源于预装的 Android 应用程序“Showcase.apk”,该应用程序以过多的系统权限运行,允许其远程执行代码并安装远程包。

预装易受攻击的应用程序可能导致数百万谷歌 Pixel 手机遭到黑客攻击

报告指出:“自 2017 年 9 月以来,iVerify 在全球出货的大部分 Pixel 设备上发现了一个 Android 软件包“Showcase.apk”,该软件包具有过多的系统权限,包括远程代码执行和远程软件包安装功能。”

该应用程序通过不安全的连接下载配置文件,并且可以被操纵以在系统级别执行代码。

允许应用程序通过不安全的 HTTP 从单个 AWS 托管域检索其配置文件,从而使数百万台 Android Pixel 设备暴露于中间人 (MITM) 攻击。攻击者可以利用此漏洞注入恶意代码、以系统权限执行命令并接管设备,从而可能导致严重的网络犯罪和数据泄露。

由 Smith Micro 开发的“Showcase.apk”软件包是数百万 Android Pixel 手机固件映像的一部分。

应用程序“Showcase.apk”无法通过标准卸载过程删除,谷歌尚未解决该漏洞。该应用程序预装在Pixel固件中,并包含在谷歌针对Pixel设备的OTA更新中。专家指出,尽管该应用程序默认未启用,但可以通过多种方法激活,其中一种方法需要对设备进行物理访问。

这个存在缺陷的应用程序名为 Verizon Retail Demo Mode(“com.customermobile.preload.vzw”),其执行需要 数十个权限。该应用程序自 2016 年 8 月起就已存在,但没有证据表明此漏洞已被利用。

“应用程序在检索应用程序配置文件时无法验证或验证静态定义的域。如果应用程序已经维护了持久配置文件,则不清楚是否进行了其他检查以确保命令和控制或文件检索的配置参数是最新的。”分析报告继续说道。“应用程序在证书和签名验证期间使用不安全的默认变量初始化,导致在失败后进行有效的验证检查。”

该应用程序存在漏洞,因为其配置文件可能在检索或传输到目标手机时被更改。它也无法处理丢失的公钥、签名和证书,从而使攻击者能够在下载过程中绕过验证过程。

需要强调的是,攻击者需要物理访问设备并获得用户密码才能利用此漏洞。

谷歌表示,该问题不是 Android 或 Pixel 系统中的漏洞,并宣布将在即将推出的 Pixel 软件更新中从所有受支持的 Pixel 设备中删除该应用。

谷歌还通知了其他 Android OEM。

Showcase.apk 的发现和其他备受关注的事件(例如在Microsoft Windows中运行第三方内核扩展 )凸显了在将第三方应用程序作为操作系统的一部分运行时需要更多的透明度和讨论。它还表明需要进行质量保证和渗透测试,以确保安装在数百万台设备上的第三方应用程序的安全。

报告总结道:“为什么只有极少数设备需要 Showcase.apk,而 Google 却在每台 Pixel 设备上安装第三方应用程序仍不得而知。这个问题非常严重,以至于帮助发现安全问题的 Palantir Technologies 决定在未来几年内从其网络中移除所有 Android 设备并完全过渡到 Apple 设备。”

报告原文下载:https://iverify.io/blog/iverify-discovers-android-vulnerability-impacting-millions-of-pixel-devices-around-the-world

参考链接:

https://securityaffairs.com/167130/security/pixel-devices-pre-installed-vulnerable-app.html

预装易受攻击的应用程序可能导致数百万谷歌 Pixel 手机遭到黑客攻击

扫码关注

会杀毒的单反狗

讲述普通人能听懂的安全故事

原文始发于微信公众号(军哥网络安全读报):预装易受攻击的应用程序可能导致数百万谷歌 Pixel 手机遭到黑客攻击

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月17日13:19:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   预装易受攻击的应用程序可能导致数百万谷歌 Pixel 手机遭到黑客攻击http://cn-sec.com/archives/3073844.html

发表评论

匿名网友 填写信息