Google近日宣布将为某些Pixel手机发布固件更新,此举是由于报告显示这些手机系统中存在一个不安全的Android包APK,可能被利用来安装恶意应用。
移动安全公司iVerify在报告中披露了对这个名为Showcaseapk的包的分析。该报告由Trail of Bits的安全顾问和数据分析公司Palantir Technologies的网络事件响应团队成员共同撰写,内容在周四公布。
iVerify团队在Palantir Technologies的一台Android设备上发现了该APK,该设备的端点检测与响应EDR解决方案对此进行了标记。
iVerify进一步分析Showcaseapk,并结合Trail of Bits在2024年5月初进行的技术安全分析,发现该软件具有高“系统级”权限,能够通过不安全的HTTP从单一域名获取配置文件,且存在代码缺陷使得验证绕过成为可能,此外,报告指出该APK在大量Pixel设备上有所安装。
“Showcaseapk似乎在2017年以来售出的每一部Pixel手机上都有存在。我们有理由相信这个包可能也安装在其他Android型号上,Google也表示了同样的观点。”iVerify首席运营官Rocky Cole告诉SC Media。
Google发言人在给SC Media的邮件中表示,该APK并不存在于Pixel 9系列设备上,公司计划在即将推出的软件更新中将该包从所有受支持的在售Pixel设备中移除,“以确保安全性。”
该发言人进一步说明:“这不是Android平台或Pixel的漏洞,而是Smith Micro为Verizon店内演示设备开发的APK,目前已不再使用。要在用户手机上利用该应用,必须同时访问设备和用户密码。我们没有看到任何活跃利用的证据。”
Google还表示,将通知其他Android原始设备制造商OEM有关该APK的情况,并指出Showcase应用程序由Verizon拥有,且在Verizon销售的所有Android设备上都是必需的。
SC Media尝试联系开发该APK代码的Smith Micro Software,以及Verizon,但未收到这两家公司任何回应。
快喵加速器app官网Showcaseapk是由Smith Micro开发的,目的是让手机用于Verizon地区的店内演示。尽管根据iVerify的说法,该APK嵌入了许多Pixel手机的固件中,可能涉及到数百万设备,但Google表示该APK并未默认激活,只有在有人拥有该手机的物理访问权限时才能激活。
iVerify和Trail of Bits的研究者在报告中指出,Showcase存在多个问题,可能被利用进行远程恶意应用安装,前提是Showcase已经在目标设备上激活。
首先,研究者指出,Showcase运行在“过高”的权限下,这使其能够在设备上安装和删除程序包。其次,该包通过不加密的HTTP从单一的AWShosted命令和控制域获取配置文件,可能易受中间人MITM攻击。
最后,尽管配置文件具有一个有效的签名,该签名与APK中存储的rootder文件进行验证,通常可以防止MITM攻击,但在验证代码中的一个缺陷使得可以绕过这种验证。
Trail of Bits的技术报告详细说明,配置文件可能包含“payload”和“payloadgzip”字段,但实际上只需这两个字段中的一个与签名验证匹配,即可被接受。因此,攻击者可以将自己的代码注入到其中一个字段中,而该文件仍然会根据另一个字段的有效签名被接受。
Trail of Bits团队测试并确认使用Burp Suite工具可以模拟检索和注入与设备上运行Showcase的恶意版本的有效配置文件,从而实现MITM拦截。
通过利用这些漏洞,攻击者可以利用Showcase的权限来安装自己的恶意APK。
iVerify在90天的披露流程后向Google报告了这些问题,Cole表示Google承认了该报告,
