2017 óta tátong egy hatalmas biztonsági rés a Google több millió mobiljában

Különös forrása van egy frissen felfedezett sebezhetőségnek: a Google Pixel készülékeket egy bolti demó mód teszi veszélyessé immáron hét éve. Ezt nem a Google fejlesztette, ráadásul a felhasználó nem is tudja törölni a probléma forrását jelentő alkalmazás.

  • HVG HVG
2017 óta tátong egy hatalmas biztonsági rés a Google több millió mobiljában

2017 óta van jelen egy súlyos sebezhetőség a Google Pixel okostelefonok „nagyon nagy százalékában”, mutatott rá az iVerify mobilbiztonsági cég vizsgálata.

A kutatók szerint nem maga az Android a ludas, hanem egy olyan, külső fejlesztő által készített program, amely mély hozzáféréssel rendelkezik a rendszerhez. Ez nem más, mint a Verizon nevű amerikai távközlési szolgáltató szoftvere, a „Showcase.apk”, amit akkor aktiválnak, amikor az adott készülék egy üzletben van kiállítva bemutatódarabként. Ez egyfajta „demó módot” jelenít meg, melyhez hasonlót szinte bármilyen üzletben láthat, ahol ki vannak állítva mobilok – márkától függetlenül: animációk, adatok jelennek meg a készülékről, amikor épp senki nem nyomkodja őket.

Ezt persze nem lehet csak úgy aktiválni, de a Pixelek esetében úgy tűnik, sok eszköz rendszerébe bele volt építve ez a lehetőség, hogy szükség esetén el lehessen indítani. Pedig, mint az iVerify szakemberei rámutattak, ez a szoftver titkosított kapcsolaton keresztül töltött le egy konfigurációs fájlt, ami a Showcase app mély rendszerhozzáférése miatt veszélyes: ezt kiaknázva ugyanis a rosszindulatú felek távoli kódfuttatást is végezhettek, valamint csomagokat telepíthettek az eszközre – írja az Engadget.

Az Android magjában találtak egy nagyon súlyos hibát, támadók már aktívan kihasználják

Nincs szükség arra, hogy valamire rákattintson a felhasználó, anélkül is kihasználható egy új hiba. A jó hír, hogy a javítás már megérkezett hozzá, kérdés, mikor kapja meg minden érintett készülék.

Az már csak hab a tortán, hogy az alkalmazást a felhasználó nem tudja törölni az eszközről. Ugyan alapértelmezetten nem aktív a program, de a kutatók szerint számos lehetőség van az aktiválására. Az iVerify már májusban jelentette a sebezhetőséget a Google-nek, és jelenleg nincs bizonyíték arra, hogy kihasználták volna a támadók.

A technológiai óriás a Wired érdeklődésére elmondta: az alkalmazást már nem használja a Verizon, és néhány héten belül kiadnak egy frissítést, mely eltávolítja a problémás appot az összes érintett Pixel készülékről. A napokban bejelentett Pixel 9-szériás mobilokon azonban már nincs jelen a problémás alkalmazás.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.

BrandLab

A bortermelés melléktermékének felhasználásból csinált sikeres vállalkozást
Generali Biztosító
Több, mint közlekedés: amikor az autód ismer téged
Kíváncsi, hol tart az autóipar?

Dr. Reiserként írtak bele a Stranger Thingsbe – Paul Reiser a HVG-nek

Azokat, akik csak a Stranger Thingsből ismerik, összezavarná, hogy miket művelt a karrierje kezdetén Paul Reiser. Korábbi rajongóit például azzal lepte meg, hogy feltűnt az Aliens gonoszaként. A veterán komikussal pályafutása cikkcakkjairól, Jerry Seinfeldről, Lisa Kudrow-ról és Eddie Murphyről is beszélgettünk. És arról is, miért tartotta hülyeségnek a Jóbarátokat.

2025 25. lapszám