Google продала смартфони з небезпечними функціями
Google продала смартфони з небезпечними функціями
Програмне забезпечення Google для деяких телефонів Android включає приховану функцію, яка є небезпечною і може бути активована для віддаленого керування або стеження за користувачами. Подробиці повідомило видання The Washington Post.
За словами дослідників із компанії iVerify, виявлена ними прихована функція надає співробітникам магазинів, які продають телефони Pixel та інші моделі, повний доступ, щоб вони могли продемонструвати, як працюють пристрої.
Google повідомила в коментарі The Washington Post, що випустить оновлення для видалення цієї функції з усіх пристроїв Pixel, що є на ринку, в майбутньому оновленні програмного забезпечення Pixel, заявив представник компанії Ед Фернандес. Він сказав, що дистриб'ютори інших телефонів Android також будуть повідомлені про це.
Функція про яку йдеться, є частиною програми під назвою Showcase.apk. Воно зазвичай неактивне, але експерти з iVerify змогли активувати його на своєму пристрої. Вони вважають, що досвідчені хакери можуть також увімкнути його, навіть перебуваючи на відстані. Showcase.apk не можна видалити з телефонів у звичайний спосіб.
Коли програма активна, вона завантажує інструкції з сайту, розміщеного на Amazon Web Services і намагається підключитися до незахищеної веб-адреси, що починається з "http" замість безпечнішого "https". Хакери можуть перехопити сигнал і видати себе за цей сайт, надіславши замість інструкцій шпигунське програмне забезпечення. Програма завантажує конфігураційний файл через незахищене з'єднання, і ним можна маніпулювати для виконання коду на рівні системи, говорять в iVerify. Вразливість цієї програми робить мільйони пристроїв Android Pixel мішенями для атак хакерів, даючи кіберзлочинцям можливість впроваджувати шкідливий код.
Ед Фернандес заявив, що компанія не помітила будь-якого злому Showcase, і припустив, що це малоймовірно. Програмне забезпечення було створено для демонстраційних пристроїв Verizon, які продаються в магазинах, і більше не використовується, сказав він. Для використання цієї програми на телефоні користувача потрібний як фізичний доступ до пристрою, так і пароль.
Експерти з кібербезпеки кажуть, що Android-смартфони, які виготовляють Samsung та інші компанії, іноді відстають в установці оновлень безпеки, випущених Google. Вони можуть бути зламані через знайдену вразливість.
У компанії IVerify також повідомили, що програма, судячи з усього, була створена компанією Smith Micro Software (США, Пенсільванія), яка пише пакети програмного забезпечення для інструментів віддаленого доступу та батьківського контролю. Smith Micro не прокоментувала цей інцидент.