Showcase.apk: инструмент шпионажа в каждом Pixel

Компания iVerify обнаружила уязвимость в приложении Showcase.apk, предустановленном на миллионах устройств Pixel по всему миру, начиная с сентября 2017 года. Чрезмерные системные привилегии приложения открывают возможность удалённого выполнения кода и установки вредоносных пакетов на устройство.

Специалисты iVerify и партнёрских компаний Palantir Technologies и Trail of Bits провели тщательное расследование, которое показало, что Showcase.apk является частью прошивки устройств Pixel и включён в образы OTA (over-the-air). Google пока не предложила исправление проблемы, а само приложение невозможно удалить стандартным способом.

По данным iVerify, приложение было разработано компанией Smith Micro Software из Пенсильвании, которая занимается созданием ПО для удалённого доступа и инструментов родительского контроля. Showcase.apk изначально предназначалась для сотрудников магазинов, чтобы демонстрировать работу устройств. Представители Smith Micro не прокомментировали открытие специалистов.

Приложение загружает конфигурационные файлы с одного домена через незащищённый HTTP-протокол, что позволяет подменить файлы во время передачи данных. Злоумышленник может вмешаться в процесс передачи и внедрить вредоносный код, который будет выполнять команды с системными привилегиями, что даст хакеру полный контроль над устройством. Кроме того, приложение не проверяет подлинность домена, с которого загружаются конфигурационные файлы, что ещё больше усугубляет проблему.

В ходе технического анализа специалисты обнаружили недостатки в коде Showcase.apk. Например, приложение не выполняет корректную проверку сертификатов и подписей, что позволяет киберпреступнику обойти процессы верификации при загрузке файлов. Также приложение использует предсказуемые URL-адреса для связи с удалённым сервером, что облегчает задачу хакерам.

В свете событий Palantir Technologies, одна из крупнейших компаний в сфере анализа данных, обслуживающая американские разведывательные службы, отказалась от использования Android-устройств в пользу iPhone внутри компании на несколько лет. В то время как на большинстве устройств приложение неактивно по умолчанию и его нужно вручную включать, остаётся вероятность того, что Showcase.apk может быть активировано другими способами.

IVerify сравнивает найденную уязвимость с недавним глобальным сбоем в работе Windows, вызванным проблемами в ПО CrowdStrike. Уязвимость Showcase.apk также может привести к масштабным последствиям, так как ошибка встроена глубоко в систему.

iVerify сообщила Google о проблеме более 3 месяцев назад, но до недавнего времени корпорация не предпринимала никаких действий по устранению ошибки. Только после публикации отчета Google пообещала выпустить обновление, которое удалит опасное приложение с поддерживаемых устройств Pixel. Представитель Google заявил, что уведомления о проблеме также будут разосланы другим производителям Android-устройств.

Google пока не зафиксировала случаев эксплуатации уязвимости через Showcase и уверяет, что для её активации необходим физический доступ к устройству и пароль пользователя. Однако представители Palantir считают, что само наличие такого приложения на устройствах Google Pixel вызывает беспокойство, так как эти модели телефонов считаются наиболее защищёнными среди Android-устройств. Также неясно, почему Google предустанавливает приложение на все устройства Pixel, когда в действительности его используют только в ограниченном числе случаев.

На фоне увеличивающегося числа подобных инцидентов, эксперты призывают к усилению мер по обеспечению безопасности встроенного ПО, а также к более прозрачному процессу разработки и тестирования.