iVerify: Google Pixel продаются с заводским ПО, которое может использоваться для слежки или удалённого управления

Приложение Showcase.apk в прошивке смартфонов Google Pixel делает операционную систему уязвимой для атак «человек посередине», внедрения вредоносного кода и установки шпионского программного обеспечения, показало расследование компании в сфере кибербезопасности iVerify, проведённого совместно с Palantir и Trail of Bits.Обширное влияние этой уязвимости способно привести к утечкам данных на общую сумму в миллиарды долларов, отмечают исследователи.

Google получила подробный отчёт iVerify о проблеме после 90-дневного процесса раскрытия информации. В ИБ-компании не знают, когда Google выпустит исправление или удалит это ПО с телефонов, чтобы снизить потенциальные риски.Пакет Showcase.apk разработала компания Smith Micro, предоставляющая программные пакеты для удалённого доступа, родительского контроля и инструментов очистки данных.

Smith Micro, вероятно, создала этот пакет для повышения продаж Pixel и других Android-смартфонов в магазинах Verizon. Приложение в составе прошивки работает на системном уровне.Пакет приложений предназначен для получения файла конфигурации по незащищённому HTTP.