Od septembra 2017. godine, mnogi širom svijeta uključivali su skrivenu aplikaciju koja je mogla da se koristi za nadzor, daljinsko upravljanje uređajem i instalaciju malvera, otkrila je kompanija za sajber bezbjednost iVerify.
Ranjivost je otkrivena kada je iVerify, putem svog skenera, pronašao nesiguran Android uređaj u kompaniji Palantir Technologies, klijentu iVerify. Nakon zajedničke istrage, iVerify, Palantir i Trail of Bits su pronašli skriveni softverski paket pod nazivom Showcase.apk na Google Pixel uređajima. Ovaj paket ima prekomjerne privilegije, uključujući mogućnost daljinskog izvršavanja koda i instalacije aplikacija.
Palantir, poznat po prodaji svojih proizvoda za nadzor vladama i privatnim firmama, odlučio je da zabranjuje upotrebu Android uređaja u cijeloj svojoj kompaniji.
Prema izveštaju iVerify, sporna aplikacija je Verizon Retail Demo Mode (com.customermobile.preload.vzw), koju je razvila firma Smith Micro Software, i koja je prvobitno napravljena za rad u demo režimu u prodavnicama. Iako nije jasno zašto je ova aplikacija treće strane bila uključena direktno u Android firmware, ona preuzima konfiguracione fajlove putem nešifrovanih HTTP veza, što može otvoriti mogućnost za izmjene tokom prenosa. Međutim, nema dokaza da je ova ranjivost ikada zloupotrebljena.
Aplikacija je bila neaktivna po defaultu i morala je biti ručno aktivirana, što je smanjilo rizik. Kada je aktivirana, Showcase.apk je omogućavala hakerima da pristupe operativnom sistemu, izlože uređaj napadima „u sredini“ i omoguće instalaciju špijunskog softvera.
„Pošto ova aplikacija nije dizajnirana da bude zlonamjerna, mnoge bezbjednosne tehnologije je možda previdjele. Takođe, s obzirom da je dio sistemskog firmware-a, ne može se jednostavno deinstalirati,“ objašnjava iVerify.
iVerify je obavijestio Google o ovom problemu početkom maja. Google nije javno objavio informacije o ranjivosti niti je odmah izdao ažuriranje za njeno otklanjanje.
Portparol Googlea, Ed Fernandez, izjavio je za The Verge da je aplikacija kreirana „za Verizon demo uređaje u prodavnicama i više se ne koristi“ i da „iskorišćavanje ove aplikacije zahtijeva i fizički pristup uređaju i korisničku lozinku“. „Nismo imali dokaze o aktivnoj zloupotrebi. Kao meru predostrožnosti, uklonićemo ovu aplikaciju sa svih podržanih Pixel uređaja putem nadolazećeg softverskog ažuriranja. Aplikacija nije prisutna na uređajima Pixel 9 serije.“
