Google Pixel-apparaten geleverd met kwetsbare app, waardoor miljoenen mensen in gevaar zijn

Een groot percentage van de Pixel-apparaten van Google die sinds september 2017 wereldwijd zijn verzonden, bevatte slapende software die gebruikt kon worden om kwaadaardige aanvallen uit te voeren en verschillende soorten malware te verspreiden.

Volgens het mobiele beveiligingsbedrijf iVerify manifesteert het probleem zich in de vorm van een vooraf geïnstalleerde Android-app met de naam ‘Showcase.apk’ die gepaard gaat met buitensporige systeemrechten, waaronder de mogelijkheid om op afstand code uit te voeren en willekeurige pakketten op het apparaat te installeren.

“De applicatie downloadt een configuratiebestand via een onveilige verbinding en kan worden gemanipuleerd om code op systeemniveau uit te voeren”, aldus een analyse die gezamenlijk is gepubliceerd met Palantir Technologies en Trail of Bits.

“De applicatie haalt het configuratiebestand op van één enkel in de VS gevestigd, door AWS gehost domein via onbeveiligd HTTP, waardoor de configuratie kwetsbaar is en het apparaat kwetsbaar kan worden.”

De app in kwestie heet Verizon Retail Demo Mode (“com.customermobile.preload.vzw”), waarvoor bijna drie dozijn verschillende machtigingen nodig zijn op basis van artefacten die eerder deze februari naar VirusTotal zijn geüpload, waaronder locatie en externe opslag. Berichten op Reddit en XDA Forums laten zien dat het pakket er al is sinds augustus 2016.

De kern van het probleem is dat de app een configuratiebestand downloadt via een niet-versleutelde HTTP-webverbinding, in tegenstelling tot HTTPS, waardoor de deur wordt geopend voor het wijzigen ervan tijdens de overdracht naar de beoogde telefoon. Er is geen bewijs dat dit ooit in het wild is onderzocht.

Het is het vermelden waard dat de app geen door Google gemaakte software is. Het is eerder ontwikkeld door een softwarebedrijf voor bedrijven genaamd Smith Micro om het apparaat in demomodus te zetten. Het is momenteel niet duidelijk waarom software van derden direct in Android-firmware is ingebouwd, maar op de achtergrond zei een Google-vertegenwoordiger dat de applicatie eigendom is van en vereist is door Verizon op alle Android-apparaten.

Het eindresultaat is dat Android Pixel-smartphones kwetsbaar worden voor ‘adversary-in-the-middle’-aanvallen (AitM), waardoor kwaadwillenden de macht krijgen om schadelijke code en spyware te injecteren.

Naast het feit dat de toepassing op systeemniveau in een uiterst bevoorrechte context wordt uitgevoerd, “kan de toepassing een statisch gedefinieerd domein niet verifiëren of verifiëren tijdens het ophalen van het configuratiebestand van de toepassing” en “maakt gebruik van onveilige standaardvariabele-initialisatie tijdens certificaat- en handtekeningverificatie, wat resulteert in geldige verificatiecontroles na een mislukking.”

Dat gezegd hebbende, wordt de ernst van deze tekortkoming enigszins verzacht door het feit dat de app niet standaard is ingeschakeld. Dit is echter alleen mogelijk als een kwaadwillende actor fysieke toegang heeft tot een doelapparaat en de ontwikkelaarsmodus is ingeschakeld.

“Aangezien deze app niet inherent schadelijk is, zal de meeste beveiligingstechnologie deze over het hoofd zien en niet als schadelijk markeren. Bovendien is de app op systeemniveau geïnstalleerd en onderdeel van de firmware-image. Daarom kan deze niet op gebruikersniveau worden verwijderd”, aldus iVerify.

In een verklaring gedeeld met The Hacker News, zei Google dat het noch een Android-platform noch een Pixel-kwetsbaarheid is, en dat het gerelateerd is aan een pakketbestand dat is ontwikkeld voor Verizon in-store demo-apparaten. Het zei ook dat de app niet langer wordt gebruikt.

“Exploitatie van deze app op een gebruikerstelefoon vereist zowel fysieke toegang tot het apparaat als het wachtwoord van de gebruiker”, aldus een woordvoerder van Google. “We hebben geen bewijs gezien van actieve exploitatie. Uit overvloedige voorzorg zullen we dit verwijderen van alle ondersteunde Pixel-apparaten op de markt met een aankomende Pixel-software-update. De app is niet aanwezig op Pixel 9-serie-apparaten. We stellen ook andere Android-OEM’s op de hoogte.”

Thijs Van der Does