Google’ın Eylül 2017’den bu yana dünya çapında sevkiyatı yapılan Pixel cihazlarının büyük bir yüzdesi, kötü amaçlı saldırılar düzenlemek ve çeşitli kötü amaçlı yazılımlar dağıtmak için kullanılabilecek gizli yazılımlar içeriyordu.
Mobil güvenlik firması iVerify’a göre sorun, cihaza uzaktan kod çalıştırma ve cihaza keyfi paketler yükleme yeteneği de dahil olmak üzere aşırı sistem ayrıcalıklarıyla gelen “Showcase.apk” adlı önceden yüklenmiş bir Android uygulaması şeklinde ortaya çıkıyor.
Palantir Technologies ve Trail of Bits ile birlikte yayınlanan bir analizde, “Uygulama, güvenli olmayan bir bağlantı üzerinden bir yapılandırma dosyası indiriyor ve sistem düzeyinde kod çalıştıracak şekilde manipüle edilebiliyor” denildi.
“Uygulama, güvenli olmayan HTTP üzerinden ABD merkezli, AWS’de barındırılan tek bir etki alanından yapılandırma dosyasını alıyor, bu da yapılandırmayı savunmasız bırakıyor ve cihazı savunmasız hale getirebiliyor.”
Söz konusu uygulama Verizon Retail Demo Mode (“com.customermobile.preload.vzw”) olarak adlandırılıyor ve bu Şubat ayının başlarında VirusTotal’a yüklenen eserlere dayalı olarak konum ve harici depolama alanı dahil olmak üzere yaklaşık üç düzine farklı izin gerektiriyor. Reddit ve XDA Forumlarındaki gönderiler, paketin Ağustos 2016’dan beri var olduğunu gösteriyor.
Sorunun özü, uygulamanın HTTPS yerine şifrelenmemiş bir HTTP web bağlantısı üzerinden bir yapılandırma dosyası indirmesi ve böylece hedef telefona aktarım sırasında dosyayı değiştirmeye olanak sağlamasıdır. Vahşi doğada keşfedildiğine dair hiçbir kanıt yoktur.
Uygulamanın Google yapımı bir yazılım olmadığını belirtmekte fayda var. Aksine, cihazı demo moduna sokmak için Smith Micro adlı bir kurumsal yazılım şirketi tarafından geliştirildi. Üçüncü taraf yazılımın neden doğrudan Android aygıt yazılımına yerleştirildiği şu anda net değil, ancak arka planda bir Google temsilcisi uygulamanın Verizon’a ait olduğunu ve tüm Android aygıtlarda zorunlu olduğunu söyledi.
Sonuç olarak Android Pixel akıllı telefonlar, kötü niyetli kişilere kötü amaçlı kod ve casus yazılım enjekte etme yetkisi veren, aracı saldırılara (AitM) karşı savunmasız hale geliyor.
Uygulama, sistem düzeyinde oldukça ayrıcalıklı bir bağlamda çalışmasının yanı sıra, “uygulamanın yapılandırma dosyasının alınması sırasında statik olarak tanımlanmış bir etki alanının kimliğini doğrulamakta veya doğrulamakta başarısız oluyor” ve “sertifika ve imza doğrulaması sırasında güvenli olmayan varsayılan değişken başlatmayı kullanıyor ve bu da başarısızlıktan sonra geçerli doğrulama kontrolleriyle sonuçlanıyor.”
Bununla birlikte, uygulamanın varsayılan olarak etkin olmaması, eksikliğin kritikliğini bir dereceye kadar hafifletiyor; ancak bunu yalnızca bir tehdit aktörünün hedef cihaza fiziksel erişimi olduğunda ve geliştirici modu etkinleştirildiğinde yapmak mümkün.
iVerify, “Bu uygulama doğası gereği kötü amaçlı olmadığından, çoğu güvenlik teknolojisi bunu göz ardı edebilir ve kötü amaçlı olarak işaretlemeyebilir; ayrıca uygulama sistem düzeyinde yüklendiği ve aygıt yazılımı görüntüsünün bir parçası olduğu için, kullanıcı düzeyinde kaldırılamaz” dedi.
The Hacker News ile paylaşılan bir açıklamada Google, bunun ne bir Android platformu ne de Pixel güvenlik açığı olmadığını ve Verizon mağaza içi demo cihazları için geliştirilen bir paket dosyasıyla ilgili olduğunu söyledi. Ayrıca uygulamanın artık kullanılmadığını da söyledi.
“Bu uygulamanın bir kullanıcı telefonunda kullanılması hem cihaza fiziksel erişim hem de kullanıcının parolasını gerektirir,” dedi bir Google sözcüsü. “Herhangi bir aktif sömürüye dair bir kanıt görmedik. Önlem amaçlı olarak, yaklaşan bir Pixel yazılım güncellemesiyle bunu piyasadaki tüm desteklenen Pixel cihazlarından kaldıracağız. Uygulama Pixel 9 serisi cihazlarda mevcut değil. Diğer Android OEM’lerini de bilgilendiriyoruz.”