Приложение Showcase.apk в прошивке смартфонов Google Pixel делает операционную систему уязвимой для атак «человек посередине», внедрения вредоносного кода и установки шпионского программного обеспечения, показало расследование компании в сфере кибербезопасности iVerify, проведённого совместно с Palantir и Trail of Bits.Обширное влияние этой уязвимости способно привести к утечкам данных на общую сумму в миллиарды долларов, отмечают исследователи.
Google получила подробный отчёт iVerify о проблеме после 90-дневного процесса раскрытия информации. В ИБ-компании не знают, когда Google выпустит исправление или удалит это ПО с телефонов, чтобы снизить потенциальные риски.Пакет Showcase.apk разработала компания Smith Micro, предоставляющая программные пакеты для удалённого доступа, родительского контроля и инструментов очистки данных.
Smith Micro, вероятно, создала этот пакет для повышения продаж Pixel и других Android-смартфонов в магазинах Verizon. Приложение в составе прошивки работает на системном уровне.Пакет приложений предназначен для получения файла конфигурации по незащищённому HTTP.
Читать на habr.com