Sicherheitsexperten haben gerade einen massiven Fehler bei Google Pixel-Telefonen entdeckt

Google behebt eine schwerwiegende Sicherheitslücke auf Firmware-Ebene, die seit 2017 auf Millionen von weltweit verkauften Pixel-Smartphones vorhanden ist. „Aus Vorsichtsgründen werden wir diese Sicherheitslücke mit einem bevorstehenden Pixel-Software-Update von allen unterstützten Pixel-Geräten auf dem Markt entfernen.“ “, sagte das Unternehmen gegenüber der Washington Post .

Das Kernproblem ist ein Anwendungspaket namens Showcase.apk, ein Element der Android-Firmware, das Zugriff auf mehrere Systemberechtigungen hat. Normalerweise kann ein durchschnittlicher Smartphone-Benutzer es nicht aktivieren oder direkt damit interagieren, aber die Untersuchungen von iVerify haben gezeigt, dass ein Angreifer es ausnutzen kann, um ernsthaften Schaden anzurichten.

„Die Sicherheitslücke macht das Betriebssystem für Cyberkriminelle zugänglich, um Man-in-the-Middle-Angriffe, Malware-Injektionen und Spyware-Installationen durchzuführen“, so das Unternehmen. Das Sicherheitsunternehmen gab bekannt, dass der Fehler die Türen für die Remote-Codeausführung und die Remote-Paketinstallation öffnet.

Das bedeutet, dass ein Angreifer Malware auf einem Zielgerät installieren kann, ohne physischen Zugriff darauf zu haben. Abhängig von der eingeschleusten Malware können Cyberkriminelle anschließend verschiedene Angriffsformen starten, darunter unter anderem den Diebstahl sensibler Daten oder die Übernahme des Systems.

Das Hauptproblem besteht darin, dass Showcase.apk Konfigurationsressourcen über eine ungesicherte HTTP-Verbindung herunterlädt, wodurch es für böswillige Akteure anfällig wird. Was es noch beängstigender macht, ist, dass Benutzer es nicht direkt deinstallieren können, so wie sie andere auf ihren Telefonen gespeicherte Apps entfernen können.

Ein sehr Pixelproblem

Wie wirkt sich also das Google Pixel auf die gesamte Serie aus und nicht auf jedes Android-Handy auf der Welt? Nun, das Showcase.apk-Paket ist in der Pixel-Firmware vorinstalliert und ist auch eine Kernkomponente der OTA-Images, die Google öffentlich zur Installation von Software-Updates freigibt – insbesondere während des frühen Entwicklungsprozesses.

iVerify weist darauf hin, dass es mehrere Möglichkeiten gibt, wie ein Hacker das Paket aktivieren kann, auch wenn es standardmäßig nicht aktiv ist. Google könnte nach den Enthüllungen aus mehreren Gründen ernsthaften Aufregung ausgesetzt sein.

Erstens gab iVerify an, Google 90 Tage vor der Veröffentlichung über seine alarmierende Entdeckung informiert zu haben, Google gab jedoch kein Update dazu, wann der Fehler behoben werden würde – wodurch Millionen von weltweit verkauften Pixel-Geräten gefährdet seien. Zweitens befand sich eines der als ungesichert gekennzeichneten Geräte im aktiven Einsatz bei Palantir Technologies, einem Analyseunternehmen, das kürzlich vom US-Verteidigungsministerium einen Auftrag im Wert von etwa einer halben Milliarde Dollar zur Herstellung von Computer-Vision-Systemen für die US-Armee erhielt.

Der Klarheit halber: Es ist nicht Showcase.apk selbst, das problematisch ist. Auf diese Weise lädt er Konfigurationsdateien über eine ungesicherte HTTP-Verbindung herunter, die als offene Einladung für Hacker zum Schnüffeln galt. Um Ihnen einen Eindruck von der Bedrohung zu vermitteln, warnt Googles Chrome-Browser Benutzer jedes Mal, wenn sie eine Website besuchen, die das alte HTTP-Protokoll verwendet anstelle der sichereren HTTPS-Architektur.

Nach der Veröffentlichung dieser Geschichte schickte ein Google-Sprecher die folgende Erklärung an Digital Trends zur weiteren Klärung der gesamten Situation:

„Dies ist weder eine Android-Plattform noch eine Pixel-Schwachstelle, sondern eine APK, die von Smith Micro für Demogeräte im Geschäft von Verizon entwickelt wurde und nicht mehr verwendet wird.“ Die Nutzung dieser App auf einem Benutzertelefon erfordert sowohl physischen Zugriff auf das Gerät als auch das Passwort des Benutzers. Wir haben keine Hinweise auf eine aktive Ausbeutung gesehen. Aus Vorsichtsgründen werden wir dies mit einem kommenden Pixel-Softwareupdate von allen unterstützten Pixel-Geräten auf dem Markt entfernen. Die App ist auf Geräten der Pixel 9-Serie nicht verfügbar. Wir benachrichtigen auch andere Android-[Hersteller].“

Das ist ernst

Was Google unabhängig vom Bedrohungsträger in Schwierigkeiten bringen könnte, ist die Tatsache, dass gefährdete Pixel-Smartphones von einem Verteidigungsunternehmen aktiv genutzt wurden, was theoretisch die nationale Sicherheit gefährden könnte. Es ist nicht schwer, sich vorzustellen, warum.

Schauen Sie sich nur an, wie TikTok in mehreren Bundesstaaten für Bundesangestellte verboten wurde und ähnliche Bedenken hinsichtlich der nationalen Sicherheit anführte. „Es ist wirklich ziemlich beunruhigend. Pixel sollen sauber sein. Auf Pixel-Telefonen sind eine Menge Verteidigungsfunktionen integriert“, sagte Dane Stuckey, Chief Information Security Officer bei Palantir, gegenüber The Post.

Die App wurde von Smith Micro für den Telekommunikationsgiganten Verizon entwickelt, um Telefone für Einzelhandelsgeschäfte in den Demomodus zu versetzen. Da die App selbst keinen bösartigen Code enthält, ist es außerdem für Antiviren-Apps oder -Software nahezu unmöglich, sie als solchen zu kennzeichnen. Google hingegen sagt, dass die Ausnutzung des Fehlers einen physischen Zugang und die Kenntnis des Passcodes des Telefons erfordern würde.

iVerify hat jedoch auch Fragen zur weit verbreiteten Präsenz der App aufgeworfen. Warum war das Paket Teil der Pixel-Firmware auf Geräten, als es auf Wunsch von Verizon für Demogeräte entwickelt wurde, und nicht nur auf solchen, die für den Bestand des Mobilfunkanbieters bestimmt waren?

Nach der Sicherheitsüberprüfung hat Palantir praktisch alle Android-Geräte aus seiner Flotte entfernt und ist ausschließlich auf iPhones umgestiegen, ein Übergang, der in den nächsten Jahren abgeschlossen sein wird. Glücklicherweise gibt es keine Hinweise darauf, dass die Schwachstelle Showcase.apk von böswilligen Akteuren ausgenutzt wird.