2min Security

Malware door te sluizen via systeemapp op Google Pixel-toestellen

Malware door te sluizen via systeemapp op Google Pixel-toestellen

Pixel-smartphones bevatten een kwetsbaarheid die hackers de mogelijkheid geeft malware of spyware onopvallend te installeren. De kwetsbaarheid maakt miljoenen van deze toestellen kwetsbaar en kan alleen door Google worden gedicht.

De kwetsbaarheid schuilt in de software Showcase.apk. Google levert Pixel-telefoons standaard met deze app en doordat het als systeemapp staat aangeduid, kunnen gebruikers deze niet verwijderen. Google zal een oplossing moeten beschikbaar stellen aan gebruikers, maar zegt daar nog aan te werken.

Extreem veel systeemrechten

De kwetsbaarheid werd gedemonstreerd door iVerify, die de bevindingen uitzette in een rapport. Doordat de APK een configuratiebestand ontvangt via een onbeveiligd domein op AWS, kan een hacker deze connectie onderscheppen. Dit maakt het mogelijk malware of spyware te installeren op een toestel. Hackers zullen de connectie zelf moeten openzetten, iets waar volgens iVerify gespecialiseerde hackers toe in staat zijn.

De software is uit zichzelf niet actief. Showcase.apk is namelijk geen app die gebruikers van een Pixel-smartphone nodig hebben. De installatie diende alleen voor het demonstreren van de functionaliteiten van Pixel-smartphones in Verizon-winkels. Showcase beschikt om deze reden wel over extreem veel systeemrechten, waardoor het voor hackers eenvoudig is om malware te installeren eens de connectie werd onderschept.

Verizon is ondertussen afgestapt van het gebruik van Showcase. De Amerikaanse telecomverkoper geeft aan geen aanwijzingen te zien die wijzen op uitbuiting. Een woordvoerder van Google meldde iets gelijkaardigs aan The Washington Post. Er zou geen actieve uitbuiting plaatsvinden en in het verleden zijn er geen aanvallen vastgesteld die met de kwetsbaarheid te linken zijn.

Probleem misschien niet uniek voor Pixel

Omdat Showcase.apk een product is van Smith Micro Software en niet uniek voor Pixel-toestellen werd ontworpen, stelt Google dat het mogelijk is dat toestellen van andere fabrikanten ook gevaar lopen. Het bedrijf stelt concurrerende fabrikanten van Android-toestellen daarom op de hoogte van het probleem en de aankomende oplossing.

Google levert de software overigens al niet meer mee met Pixel 9-toestellen. Het eerste toestel uit deze lijn wordt geleverd op 22 augustus, het gaat om de Pixel 9 Pro XL.

Lees ook: Google Pixel 9-lijn aangekondigd: foldable komt naar Nederland en België