GÜNCELLENDİ
Tüm Google Pixel telefonların donanım yazılımına gömülü, artık kullanılmayan ancak kaldırılamayan bir uygulama, mükemmel bir kötü amaçlı arka kapı işlevi görebilir.
“Showcase.apk”, Pittsburgh merkezli Smith Micro tarafından, özellikle Verizon mağazalarında sergilenen Pixel cihazları için tasarlanmıştır. Bir şekilde, bir şekilde, her Pixel telefona önceden yüklenmiş en azından Eylül 2017’den beri sevk edilmiş — Dünya çapında milyonlarcaVerizon tarafından servis verilmeyenler de dahil olmak üzere ilk modelin dışındaki tüm modellerde.
iVerify dün yayınladığı bir raporda, uygulamanın önemli ayrıcalıklara ve performans gösterme yeteneğine sahip olduğunu belirterek, bunun kötü bir haber olduğunu belirtti. her türlü kötü amaçlı fonksiyonVe telefonun temel görüntüsünde yer aldığı için Google dışında kimsenin bundan kurtulmasının bir yolu yok.
Showcase.apk Tamam Değil
Bu yılın başlarında, iVerify, hükümet istihbaratı ve savunma ajanslarıyla sözleşme yapan büyük veri şirketi Palantir Technologies tarafından kullanılan bir Android cihazında bir güvenlik açığı tespit etti. Araştırmaları, Verizon Wireless tarafından demo cihazlarında kullanılmak üzere sözleşme yapılan ve artık kullanılmayan bir Android Paket Dosyası (APK) olan showcase.apk’ye yol açtı.
Bu uygulamanın bugüne kadar gizemini koruyan birçok unsuru vardı, örneğin Verizon mağazalarında sergilenen telefonlar dışında herhangi bir şeye neden yüklendiği ve neden bu kadar aşırı ayrıcalıklı olduğu. Uygulama, fark edilebilir bir sebep olmaksızın “aşırı” sistem benzeri ayrıcalıklar devralır. Bu ayrıcalıkları, diğer şeylerin yanı sıra bir kabuk ortamında komutları çalıştırmak veya keyfi paketler yüklemek için kullanabilir.
“Nasıl kullanılabileceğini hayal gücünüzle belirleyebilirsiniz,” diyor iVerify’ın Kurucu Ortağı ve COO’su ve kendisi de eski bir Google çalışanı olan Rocky Cole. “Cihazı kontrol etme yeteneğine sahip — örneğin, kamerayı açıp kapatma, kısa mesajları, e-postaları okuma, temel demo mağaza işlevselliğinin bir parçası olarak.”
Paketin güvenlik açıklarıyla dolu olması da yardımcı olmuyor. Bir komut ve kontrol (C2) alanıyla iletişim kuruyor ve güvenli olmayan HTTP üzerinden dosyaları indiriyor, aracı saldırılara (MITM) kapı açıyor, gelen dosyaları kontrol etmek için kullandığı güvenli olmayan sertifika ve imza doğrulama süreçleri başarısızlıktan sonra bile geçerli yanıtlar döndürebiliyor ve daha fazlası.
Gümüş Bir Astar
Ancak iki iyi haberimiz var.
Birincisi, showcase.apk varsayılan olarak kapalı görünüyor. Ve, ortaya çıktı ki, iVerify araştırmacıları, hedeflenen bir cihaza fiziksel yakınlıkları olduğunda (Google’ın herhangi bir yamasından önce ifşa etmeyecekleri mekanizmalar aracılığıyla) bunu açabiliyorlardı.
“Cihazı etkinleştirmek için ona yakın olmanın gerekli olduğu varsayımı, saldırgan ile son kullanıcı arasında duran tek şeydir,” diye açıklıyor Cole, Google’ın yanı sıra eskiden NSA analisti olarak da çalışmış olan. “Bu bariyeri aşarsanız – ve bunu başarabileceğiniz birkaç yol düşünebiliyorum – esasen sahip olduğunuz şey, tespit edilemeyen, kalıcı bir sarmaldır.”
Bu, yüksek riskli kullanıcılar için en büyük endişe kaynağı olacaktır. “Örneğin Palantir’de, müşterilerinin çoğu gerçekten çekişmeli alanlarda çalışıyor. Sadece dijital çatışmanın değil, gerçek, kinetik, gerçek dünya çatışmasının da ön saflarında yer alıyorlar. Ve birçok ulusal güvenlik yeteneği Android üzerine kurulu. Ve bu nedenle bu güvenlik açığı, mobil bir istismar zincirinin mükemmel ikinci veya üçüncü aşaması olacaktır,” diyor.
Showcase.apk’nin daha geniş bir saldırı zincirine nasıl uyabileceğine dair bir örnek olarak şunu gösteriyor: Operasyon Üçgenleme“Onun üzerindeki exploit zinciri 10 veya 12 adım uzunluğundaydı — showcase.apk’nin bunun ortasında veya sonunda bir yerde olduğunu düşünün.”
Google Pixel 9 için planlanmadı
Şimdiye kadar, showcase.apk’nın vahşi doğada istismar edildiğine dair hiçbir kanıt yoktur.
Basına yapılan açıklamalarda, Google sözcüleri yaklaşan Google Pixel 9’un bu paketi hiç içermeyeceğini belirtti. Mevcut Pixel’ler için Google’ın bildirildiğine göre bir güncelleme üzerinde çalışılıyor “önümüzdeki haftalarda” yayınlanacak. O zamana kadar, yüksek risk altında olan Pixel sahipleri, showcase.apk kötüye kullanımının önünü açan ilk saldırı yöntemlerini zorlaştırmak için telefonlarını fiziksel olarak korumaktan daha fazlasını yapamazlar.
Dark Reading, yaklaşan düzeltmeler hakkında daha fazla bilgi edinmek için Google ile iletişime geçti.
Verizon sözcüsü bir açıklama yaparak şunları söyledi: “Android cihazların mağaza içi demolarını etkinleştiren bir özelliğe özgü potansiyel bir güvenlik açığının farkındayız. Bu özellik artık Verizon tarafından mağazalarda kullanılmıyor ve tüketiciler tarafından da kullanılmıyor. Bunun herhangi bir şekilde istismar edildiğine dair bir kanıt görmedik. Android OEM’leri, aşırı önlem almak amacıyla bu demo özelliğini desteklenen tüm cihazlardan kaldıracak.”
Bu arada, Cole’a göre, oyunda daha geniş bir sorun var. “CrowdStrike’ı ele alalım – ve açık olmak gerekirse, CrowdStrike’ı seviyorum, bu sadece endüstrinin tamamı için bir öğrenme – son kullanıcı tarafından bilerek oraya yerleştirildi. CrowdStrike’ı satın alırsanız, makinelerinizde çekirdek düzeyinde çalışan üçüncü taraf yazılımlara sahip olmayı kabul edersiniz. Showcase.apk’nin farklı yanı, hiçbir son kullanıcının [option] Pixel’in Hizmet Şartları’nı kabul etmekten başka bir şey yok. Bu, kabul edin ya da etmeyin teklifidir — ya bloatware’i kabul edersiniz ya da Pixel’i kullanmazsınız” diye açıklıyor.
“Buradaki ders,” diye sonlandırıyor, “kullanıcılara kaldırma yetkisi vermeden üçüncü taraf yazılımlarını işletim sisteminin bu kadar derinlerine yerleştirmenin muhtemelen riskli olduğudur.”
Bu haber, Verizon’dan alınan yorumları içerecek şekilde TSİ 17:28’de güncellendi.