أجهزة Google Pixel مشحونة بتطبيقات ضعيفة، مما يعرض الملايين للخطر
تضمنت نسبة كبيرة من أجهزة Pixel الخاصة بشركة Google والتي تم شحنها عالميًا منذ سبتمبر 2017، برامج خاملة يمكن استخدامها لشن هجمات شنيعة وتقديم أنواع مختلفة من البرامج الضارة.
تظهر المشكلة في شكل تطبيق Android مثبت مسبقًا يسمى “Showcase.apk” والذي يأتي مع امتيازات نظام زائدة، بما في ذلك القدرة على تنفيذ التعليمات البرمجية عن بعد وتثبيت حزم عشوائية على الجهاز، وفقًا لشركة أمن الأجهزة المحمولة iVerify.
“يقوم التطبيق بتنزيل ملف تكوين عبر اتصال غير آمن ويمكن معالجته لتنفيذ تعليمات برمجية على مستوى النظام.” قال في تحليل نُشر بالاشتراك مع Palantir Technologies وTrail of Bits.
“يسترد التطبيق ملف التكوين من نطاق واحد مستضاف على AWS ومقره الولايات المتحدة عبر HTTP غير آمن، مما يترك التكوين عرضة للخطر ويمكن أن يجعل الجهاز عرضة للخطر.”
التطبيق المعني يسمى الوضع التجريبي للبيع بالتجزئة من Verizon (“com.customermobile.preload.vzw”)، والتي يتطلب ما يقرب من ثلاثين أذونات مختلفة بناءً على العناصر التي تم تحميلها إلى VirusTotal في وقت سابق من شهر فبراير، بما في ذلك الموقع ووحدة التخزين الخارجية. المشاركات على رديت و منتديات XDA تظهر أن الحزمة كانت موجودة منذ أغسطس 2016.
ويتعلق جوهر المشكلة بقيام التطبيق بتنزيل ملف تكوين عبر اتصال ويب HTTP غير مشفر، بدلاً من HTTPS، مما يفتح الباب لتغييره أثناء النقل إلى الهاتف المستهدف. لا يوجد أي دليل على أنه تم استكشافه في البرية.
تجدر الإشارة إلى أن التطبيق ليس برنامجًا من صنع Google. بل تم تطويره من قبل شركة برمجيات مؤسسية تدعى سميث مايكرو لوضع الجهاز في الوضع التجريبي. ليس من الواضح حاليًا سبب دمج برامج الطرف الثالث مباشرةً في البرامج الثابتة لنظام Android، ولكن في الخلفية، قال ممثل Google إن التطبيق مملوك لشركة Verizon ومطلوب منها على جميع أجهزة Android.
والنتيجة النهائية هي أنها تترك الهواتف الذكية التي تعمل بنظام Android Pixel عرضة لهجمات الخصم في الوسط (AitM)، مما يمنح الجهات الفاعلة الخبيثة صلاحيات لحقن التعليمات البرمجية الضارة وبرامج التجسس.
إلى جانب التشغيل في سياق متميز للغاية على مستوى النظام، فإن التطبيق “يفشل في المصادقة أو التحقق من مجال محدد بشكل ثابت أثناء استرداد ملف تكوين التطبيق” و”يستخدم تهيئة متغيرة افتراضية غير آمنة أثناء التحقق من الشهادة والتوقيع، مما يؤدي إلى عمليات تحقق صالحة بعد الفشل.”
ومع ذلك، يتم التخفيف من خطورة الخلل إلى حد ما من خلال حقيقة أن التطبيق غير ممكّن افتراضيًا، على الرغم من أنه من الممكن القيام بذلك فقط عندما يكون لدى جهة التهديد إمكانية الوصول الفعلي إلى الجهاز المستهدف ويتم تمكين وضع المطور.
“نظرًا لأن هذا التطبيق ليس ضارًا بطبيعته، فإن معظم تقنيات الأمان قد تتجاهله ولا تضع علامة عليه باعتباره ضارًا، وبما أن التطبيق مثبت على مستوى النظام وجزء من صورة البرنامج الثابت، فلا يمكن إلغاء تثبيته على مستوى المستخدم.” قال iVerify.
في بيان تمت مشاركته مع The Hacker News، قالت Google إنها ليست منصة Android ولا ثغرة أمنية في Pixel، وأنها مرتبطة بملف حزمة تم تطويره لأجهزة Verizon التجريبية داخل المتجر. وقالت أيضًا أن التطبيق لم يعد قيد الاستخدام.
وقال متحدث باسم جوجل: “إن استغلال هذا التطبيق على هاتف المستخدم يتطلب الوصول الفعلي إلى الجهاز وكلمة المرور الخاصة بالمستخدم”. “لم نر أي دليل على أي استغلال نشط. من باب الاحتياط الزائد، سنقوم بإزالة هذا من جميع أجهزة Pixel المدعومة في السوق من خلال تحديث برنامج Pixel القادم. التطبيق غير موجود على أجهزة سلسلة Pixel 9. نحن نقوم أيضًا بإخطار مصنعي المعدات الأصلية الآخرين لنظام Android.”
إرسال التعليق