Google’ın Eylül 2017’den bu yana dünya çapında sevkiyatı yapılan Pixel cihazlarının büyük bir yüzdesi, kötü amaçlı saldırılar düzenlemek ve çeşitli kötü amaçlı yazılımlar dağıtmak için kullanılabilecek gizli yazılımlar içeriyordu.
Mobil güvenlik firması iVerify’a göre sorun, cihaza uzaktan kod çalıştırma ve cihaza keyfi paketler yükleme yeteneği de dahil olmak üzere aşırı sistem ayrıcalıklarıyla gelen “Showcase.apk” adlı önceden yüklenmiş bir Android uygulaması şeklinde ortaya çıkıyor.
“Uygulama, güvenli olmayan bir bağlantı üzerinden bir yapılandırma dosyası indiriyor ve sistem düzeyinde kod yürütmek üzere manipüle edilebiliyor” söz konusu Palantir Technologies ve Trail of Bits ile birlikte yayınlanan bir analizde.
“Uygulama, güvenli olmayan HTTP üzerinden ABD merkezli, AWS’de barındırılan tek bir etki alanından yapılandırma dosyasını alıyor, bu da yapılandırmayı savunmasız bırakıyor ve cihazı savunmasız hale getirebiliyor.”
Söz konusu uygulamanın adı Verizon Perakende Demo Modu (“com.customermobile.preload.vzw”), hangi gereklilikler Şubat ayının başlarında VirusTotal’a yüklenen yapıtlara dayalı yaklaşık üç düzine farklı izin, konum ve harici depolama alanı dahil. Reddit Ve XDA Forumları paketin Ağustos 2016’dan beri var olduğunu gösteriyor.
Sorunun özü, uygulamanın HTTPS yerine şifrelenmemiş bir HTTP web bağlantısı üzerinden bir yapılandırma dosyası indirmesi ve böylece hedef telefona aktarım sırasında dosyayı değiştirmeye olanak sağlamasıdır. Vahşi doğada keşfedildiğine dair hiçbir kanıt yoktur.
 |
| Showcase.apk uygulaması tarafından istenen izinler |
Uygulamanın Google yapımı bir yazılım olmadığını belirtmekte fayda var. Aksine, cihazı demo moduna sokmak için Smith Micro adlı bir kurumsal yazılım şirketi tarafından geliştirildi. Üçüncü taraf yazılımın neden doğrudan Android aygıt yazılımına yerleştirildiği şu anda net değil, ancak arka planda bir Google temsilcisi uygulamanın Verizon’a ait olduğunu ve tüm Android aygıtlarda zorunlu olduğunu söyledi.
Sonuç olarak Android Pixel akıllı telefonlar, kötü niyetli kişilere kötü amaçlı kod ve casus yazılım enjekte etme yetkisi veren, aracı saldırılara (AitM) karşı savunmasız hale geliyor.
Uygulama, sistem düzeyinde oldukça ayrıcalıklı bir bağlamda çalışmasının yanı sıra, “uygulamanın yapılandırma dosyasının alınması sırasında statik olarak tanımlanmış bir etki alanının kimliğini doğrulamakta veya doğrulamakta başarısız oluyor” ve “sertifika ve imza doğrulaması sırasında güvenli olmayan varsayılan değişken başlatmayı kullanıyor ve bu da başarısızlıktan sonra geçerli doğrulama kontrolleriyle sonuçlanıyor.”
Bununla birlikte, uygulamanın varsayılan olarak etkin olmaması, eksikliğin kritikliğini bir dereceye kadar hafifletiyor; ancak bunu yalnızca bir tehdit aktörünün hedef cihaza fiziksel erişimi olduğunda ve geliştirici modu etkinleştirildiğinde yapmak mümkün.
iVerify, “Bu uygulama doğası gereği kötü amaçlı olmadığından, çoğu güvenlik teknolojisi bunu göz ardı edebilir ve kötü amaçlı olarak işaretlemeyebilir; ayrıca uygulama sistem düzeyinde yüklendiği ve aygıt yazılımı görüntüsünün bir parçası olduğu için, kullanıcı düzeyinde kaldırılamaz” dedi.
The Hacker News ile paylaşılan bir açıklamada Google, bunun ne bir Android platformu ne de Pixel güvenlik açığı olmadığını ve Verizon mağaza içi demo cihazları için geliştirilen bir paket dosyasıyla ilgili olduğunu söyledi. Ayrıca uygulamanın artık kullanılmadığını da söyledi.
“Bu uygulamanın bir kullanıcı telefonunda kullanılması hem cihaza fiziksel erişim hem de kullanıcının parolasını gerektirir,” dedi bir Google sözcüsü. “Herhangi bir aktif sömürüye dair bir kanıt görmedik. Önlem amaçlı olarak, yaklaşan bir Pixel yazılım güncellemesiyle bunu piyasadaki tüm desteklenen Pixel cihazlarından kaldıracağız. Uygulama Pixel 9 serisi cihazlarda mevcut değil. Diğer Android OEM’lerini de bilgilendiriyoruz.”