Google Pixel cài đặt ứng dụng dễ tổn thương, khiến hàng triệu người gặp rủi ro

Tác giả ChatGPT, T.Tám 16, 2024, 08:16:06 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Một tỷ lệ lớn các thiết bị Pixel của Google được xuất xưởng trên toàn cầu kể từ tháng 9 năm 2017 bao gồm phần mềm không hoạt động có thể được sử dụng để thực hiện các cuộc tấn công bất chính và phát tán nhiều loại phần mềm độc hại khác nhau.

Theo công ty bảo mật di động iVerify, vấn đề này biểu hiện dưới dạng một ứng dụng Android được cài đặt sẵn có tên "Showcase.apk" đi kèm với các đặc quyền hệ thống quá mức, bao gồm khả năng thực thi mã từ xa và cài đặt các gói tùy ý trên thiết bị.


"Ứng dụng tải xuống tệp cấu hình qua kết nối không an toàn và có thể bị thao túng để thực thi mã ở cấp hệ thống", nó cho biết trong một phân tích được công bố chung với Palantir Technologies và Trail of Bits.

"Ứng dụng truy xuất tệp cấu hình từ một miền được lưu trữ trên AWS có trụ sở tại Hoa Kỳ qua HTTP không bảo mật, khiến cấu hình dễ bị tấn công và có thể khiến thiết bị dễ bị tấn công."

Ứng dụng được đề cập có tên là Chế độ demo bán lẻ của Verizon ("com.customermobile.preload.vzw"), yêu cầu gần ba chục quyền khác nhau dựa trên các tạo phẩm được tải lên VirusTotal vào đầu tháng 2 này, bao gồm cả vị trí và bộ nhớ ngoài. Các bài đăng trên Diễn đàn Reddit và XDA cho thấy gói này đã xuất hiện từ tháng 8 năm 2016.

Mấu chốt của vấn đề liên quan đến việc ứng dụng tải xuống tệp cấu hình qua kết nối web HTTP không được mã hóa, trái ngược với HTTPS, từ đó mở ra cơ hội thay đổi tệp đó trong quá trình truyền tới điện thoại mục tiêu. Không có bằng chứng nào cho thấy nó đã từng được khám phá trong tự nhiên.


Điều đáng chú ý là ứng dụng này không phải là phần mềm do Google tạo ra. Thay vào đó, nó được phát triển bởi một công ty phần mềm doanh nghiệp tên là Smith Micro để đưa thiết bị vào chế độ demo. Hiện tại vẫn chưa rõ lý do tại sao phần mềm của bên thứ ba lại được nhúng trực tiếp vào chương trình cơ sở Android, nhưng về cơ bản, đại diện của Google cho biết ứng dụng này do Verizon sở hữu và yêu cầu trên tất cả các thiết bị Android.

Kết quả cuối cùng là nó khiến điện thoại thông minh Android Pixel dễ bị tấn công bởi kẻ thù trung gian (AitM), trao cho các tác nhân độc hại quyền tiêm mã độc và phần mềm gián điệp.

Ngoài việc chạy trong bối cảnh có đặc quyền cao ở cấp hệ thống, ứng dụng còn "không xác thực hoặc xác minh miền được xác định tĩnh trong quá trình truy xuất tệp cấu hình của ứng dụng" và "sử dụng khởi tạo biến mặc định không an toàn trong quá trình xác minh chứng chỉ và chữ ký, dẫn đến việc kiểm tra xác minh hợp lệ." sau thất bại."

Điều đó nói lên rằng, mức độ nghiêm trọng của thiếu sót được giảm thiểu ở một mức độ nào đó do ứng dụng không được bật theo mặc định, mặc dù điều đó chỉ có thể làm được khi tác nhân đe dọa có quyền truy cập vật lý vào thiết bị mục tiêu và chế độ nhà phát triển được bật.

"Vì ứng dụng này vốn không độc hại nên hầu hết công nghệ bảo mật có thể bỏ qua nó và không gắn cờ nó là độc hại. Vì ứng dụng này được cài đặt ở cấp hệ thống và một phần của hình ảnh chương trình cơ sở nên không thể gỡ cài đặt ở cấp độ người dùng," iVerify cho biết.

Trong một tuyên bố được chia sẻ với The Hacker News, Google cho biết đây không phải là lỗ hổng trên nền tảng Android hay Pixel và nó liên quan đến tệp gói được phát triển cho các thiết bị demo tại cửa hàng của Verizon. Nó cũng cho biết ứng dụng này không còn được sử dụng nữa.

Người phát ngôn của Google cho biết: "Việc khai thác ứng dụng này trên điện thoại người dùng yêu cầu cả quyền truy cập vật lý vào thiết bị và mật khẩu của người dùng". "Chúng tôi không thấy bằng chứng nào về bất kỳ hoạt động khai thác nào. Để đề phòng, chúng tôi sẽ xóa điều này khỏi tất cả các thiết bị Pixel được hỗ trợ trên thị trường bằng bản cập nhật phần mềm Pixel sắp tới. Ứng dụng này không có trên các thiết bị dòng Pixel 9. Chúng tôi cũng đang thông báo cho các OEM Android khác."