Das mobile Sicherheitsunternehmen iVerify hat eine Schwachstelle in Google Pixel-Smartphones entdeckt. Laut iVerify, Schuld daran war eine Software eines Drittanbieters mit tiefem Systemzugriff, und noch besorgniserregender war, dass diese Software „seit September 2017 mit den meisten Pixel-Geräten (…)“ ausgeliefert wurde.
Das Problem hängt mit „Showcase.apk“ zusammen, einer für Verizon erstellten Software, mit der Pixel-Geräte in den Demo-Modus versetzt werden, wenn sie in Einzelhandelsgeschäften ausgestellt werden. Die Software lädt Konfigurationsdateien über eine unverschlüsselte Webverbindung herunter, was Kriminellen aufgrund des umfassenden Zugriffs von Showcase die Remote-Codeausführung oder die Remote-Installation von Paketen auf dem Gerät ermöglichen könnte.
Das Besorgniserregendste an dieser Entdeckung ist, dass Showcase nicht auf Benutzerebene deinstalliert werden kann. Und obwohl es standardmäßig nicht aktiviert ist, sagt iVerify, dass es möglicherweise eine Möglichkeit gibt, die Software zu aktivieren. iVerify hat Google im Mai über die Sicherheitslücke informiert; Bisher gibt es keine bestätigten Beweise dafür, dass die Software in freier Wildbahn ausgenutzt wurde.
Das sagte ein Google-Sprecher dass Showcase von Verizon „nicht mehr verwendet“ wird und dass Google „in den kommenden Wochen“ ein Software-Update veröffentlichen wird, um die Software von allen Pixel-Geräten zu entfernen. Darüber hinaus sagte der Vertreter, dass das Showcase nicht zu der Reihe von Geräten gehöre, die während der Made by Google-Veranstaltung diese Woche angekündigt wurden.
