Er verscheen een nogal verontrustend rapport online. Het lijkt erop dat veel Pixel-telefoons kampen met een groot beveiligingslek. Dit rapport komt van iVerify, die de bevindingen deelde met The Washington Post.
Veel Pixel-telefoons hebben een groot beveiligingslek dankzij een verborgen app
Om het duidelijk te maken, iVerify is in essentie een bedrijf dat op mobiele bedreigingen jaagt. Hoe dan ook, het lijkt erop dat de mastersoftware van Google voor Pixel-telefoons een functie bevatte die Verizon-spullen aanzienlijke toegang tot de apparaten gaf. Dat werd verstrekt zodat ze konden helpen met apparaatdemo’s.
Deze feature/app heeft beveiligingslekken die cybercriminelen kunnen misbruiken. Ze kunnen ze gebruiken om gebruikers te bespioneren of zelfs om hun apparaten op afstand te bedienen. Dat is natuurlijk nogal zorgelijk.
Dit alles lijkt te gebeuren via een verborgen Android-app genaamd Showcase. Smith Micro ontwikkelde die app en deze heeft een zeer hoog niveau van privileges op alle Pixel-apparaten, behalve de eerste generatie en de laatste generatie (Pixel 9-serie).
Google zegt dat er geen schade kan worden aangericht zonder fysiek bezit en een gebruikerswachtwoord
Wat nog erger is, iVerify vermoedt dat andere Android-apparaten die app ook aan boord hebben. Het bedrijf zegt dat cybercriminelen op afstand toegang kunnen krijgen tot die slapende app, maar Google is het daar niet mee eens. Het bedrijf beweert dat fysiek bezit en een gebruikerswachtwoord vereist zouden zijn.
Wanneer Showcase actief is, downloadt het instructies van een onveilige website. Dat geeft kwaadwillenden een opening om data te onderscheppen en serieuze schade aan te richten.
Google zal de app verwijderen om zeker te zijn
Houd er rekening mee dat gebruikers die app niet van hun apparaten kunnen verwijderen. Google zal dat echter wel doen. Een woordvoerder van Google zei het volgende: “Uit overvloedige voorzorg zullen we deze verwijderen van alle ondersteunde Pixel-apparaten op de markt met een aankomende Pixel-software-update”.
Dit probleem werd voor het eerst opgemerkt op een Android-apparaat bij Palantir Technologies, een iVerify-client die defensiesoftwareoplossingen maakt voor het Amerikaanse leger. De CEO van Palantir zei het volgende: “Mobiele beveiliging is een zeer reële zorg voor ons, gezien waar we actief zijn en wie we dienen”. Hij voegde ook het volgende toe: “Dit was zeer schadelijk voor het vertrouwen, om er software van derden, niet-gecontroleerd en onveilig op te hebben. We hebben geen idee hoe het daar is gekomen, dus hebben we besloten om Androids intern effectief te verbieden”.