Согласно новому отчету компании iVerify, многие смартфоны Google Pixel, проданные с сентября 2017 года, содержали программное обеспечение, которое могло использоваться для слежки или удаленного управления устройствами пользователей.
Уязвимость была обнаружена после того, как сканер iVerify выявил небезопасное устройство Android в компании Palantir Technologies, одного из клиентов iVerify. После совместного расследования специалистами iVerify, Palantir и Trail of Bits была обнаружена скрытая программа Showcase.apk на устройствах Google Pixel. В результате, Palantir, которая продает свои продукты для слежки правительствам и частным компаниям, запретила использование устройств Android внутри компании.
«Это сильно подорвало доверие, учитывая наличие незапрашиваемого и небезопасного стороннего ПО на наших устройствах,»— сообщил информационной газете The Washington Post главный специалист по информационной безопасности Palantir Дэн Стаки.
Согласно отчету iVerify, программное обеспечение было разработано компанией Smith Micro Software и предназначалось для демонстрации устройств в магазинах Verizon. Приложение было неактивно по умолчанию и его нужно было включать вручную. «При включении, Showcase.apk делает операционную систему уязвимой для хакеров, позволяя проводить атаки посредника, внедрение кода и использовать шпионские программы,»— говорится в отчете. «Эта уязвимость может привести к утечкам данных, размер которых может исчисляться миллиардами долларов.»
Представитель Google Эд Фернандез заявил в интервью The Verge, что программное обеспечение было разработано «для демонстрационных устройств Verizon в магазинах» и что оно больше не используется, добавив, что «мы не обнаружили доказательств его активного использования.»
По данным издания Wired, iVerify уведомила Google об этом в начале мая. Однако компания не разглашала информацию об уязвимости и не выпустила обновление для устранения проблемы. Фернандез сообщил, что в течение ближайших недель Android удалит приложение со всех смартфонов Pixel.
«Это действительно вызывает беспокойство,»— отметил Стаки в интервью газете Post. «Устройства Pixel должны быть чистыми. На них установлено множество защитных механизмов.»
Источник: TheVerge
