En extremt allvarlig sårbarhet har hittats i Pixel-serien från Google. Djupt inuti mjukvaran till miljontals mobiltelefoner finns en bugg i en app som gör att cyberkriminella potentiellt kommer åt känslig data – och du som använder kan inte göra något åt det.
Var finns sårbarheten i min Pixel-telefon?
Buggen i fråga finns i en gömd applikation som heter ”Showcase.apk”.
Appen är dold för användaren och kan varken hittas eller avinstalleras på normalt vis.
Showcase.apk finns i mobiltelefoner från Google hela vägen tillbaka till september 2017.
Appen utvecklades av Smith Micro och används av butiker för att demonstrera telefonernas olika egenskaper för potentiella köpare.
Trots den specifika användningen av appen finns den tillgänglig på alla Pixel-telefoner. Varför är inte fastställt.
Hur allvarlig är sårbarheten?
Mycket allvarlig.
Så pass farlig är sårbarheten att minst ett företag väljer att inte ge nya Android-telefoner till sina anställda, enligt webbsajten TechSpot.
När Showcase.apk skickar och tar emot data sker det över en okrypterad anslutning (HTTP) istället för att vara krypterad (HTTPS).
Problemet med det är att obehöriga kan potentiellt placeras sig mellan din mobiltelefon och servern som tar emot/skickar data, och se datan.
I det specifika fallet med appen försöker den komma åt en konfigurationsfil på Amazon Web Services.
Kommer Google att fixa sårbarheten?
Google fick kännedom om sårbarheten i Pixel-telefonerna redan i maj 2024.
Först sent i augusti meddelade Google att Showcase.apk tas bort från alla Pixel-telefoner.
När appen tas bort försvinner också sårbarheten.
Vad säger säkerhetsföretag om sårbarheten?
Säkerhetsföretaget iVerify var först att identifiera och rapportera om den sårbara appen i Android.
Företaget säger att de kontaktade Google för mer än 90 dagar sedan, men att företagsjätten inte bekräftade under den perioden om sårbarheten skulle fixas eller appen tas bort.
När iVerify identifierade appen kunde de aktivera den trots att den normalt ligger helt inaktiv i operativsystemet. Säkerhetsföretaget säger att en kunnig hackare troligtvis (men inte bekräftat) kan aktivera den utan fysisk åtkomst till din telefon.
iVerify säger i ett pressmeddelande att Showcase.apk kan användas för installation av spyware och skadlig kod på mobiltelefoner som har appen.
Vad säger Google om sårbarheten i Pixel-telefonerna?
I ett uttalande till The Washington Post säger en talesperson för Google att sårbarheten försvinner när appen tas bort med en kommande uppdatering till mjukvaran.
De säger också att bolaget inte har noterat någon faktisk användning av sårbarheten av cyberkriminella.
En tredje sak som sägs av Google är att hackare som vill nyttja sårbarheten ska behöva fysisk åtkomst till den berörda enheten samt kunna lösenordet till Android.
Fördelen med att ha en Pixel-telefon i just det här fallet är att Google kan skicka ut en säkerhetsfix direkt till alla berörda telefoner mycket snabbare än exempelvis Samsung eller Xiaomi.
Lämna ett svar
Visa kommentarer