شرکت امنیت سایبری iVerify اخیراً یک آسیب‌پذیری جدی را کشف کرده است که میلیون‌ها گوشی هوشمند پیکسل در سراسر جهان را تحت تأثیر قرار داده و یافته‌های خود را در گزارش جدیدی منتشر کرد . طبق این سند ، نرم افزار متخلف مورد بحث Showcase.apk نام دارد.

در اصل توسط شرکت شخص ثالث Smith Micro Software برای دستگاه‌های نمایشی در فروشگاه‌های Verizon توسعه داده شد. کارمندان در این مکان‌ها می‌توانند به بسیاری از عملکردهای تلفن Pixel دسترسی عمیقی داشته باشند تا «نحوه کار خود را» به مشتریان علاقه‌مند نشان دهند. به طور معمول، ویترین غیر فعال است. هیچ کاری نمی کند با این حال، این امکان برای یک هکر ماهر وجود دارد که آن را از طریق یک درب پشتی فعال کند.

APK (کیت بسته اندروید) فایل پیکربندی خود را از یک دامنه ناامن در خدمات وب آمازون دریافت می کند. یک بازیگر بد، از نظر تئوری، می‌تواند این ارتباطات را رهگیری کند یا جعل هویت وب‌سایت و تزریق بدافزار یا جاسوس‌افزار به تلفن Pixel باشد. به علاوه، از آنجایی که Showcase دارای "امتیازات بیش از حد سیستم" است، برای مجرمان سایبری آسان است که یک هدف را به خطر بیاندازند .

آنچه به خصوص ترسناک است این است که Showcase از سپتامبر 2017 بخشی از اکوسیستم Google Pixel بوده است. و بدترین بخش این است که کاربر معمولی نمی تواند APK را از طریق فرآیند حذف نصب استاندارد حذف کند زیرا یک برنامه در سطح سیستم در نظر گرفته می شود. iVerify او میگوید «فقط Google می‌تواند این مشکل را برطرف کند».

تعمیر در حال انجام است

هر چقدر هم که اوضاع بد باشد، خبرهای خوبی هم وجود دارد. اول، به نظر می رسد که هیچ کس، حتی بازیگران بد، از این سوء استفاده نمی دانستند. یکی از سخنگویان گوگل به واشنگتن پست بيان کرد که آنها هیچ حمله ای را ندیده اند که بتوان آن را به Showcase نسبت داد. آنها ادعا کردند که هیچ مدرکی دال بر "استثمار فعال" وجود ندارد و تا آنجا پیش رفتند که چنین حمله ای "بعید" بود.

گوگل به خوبی از این مشکل آگاه است. این غول فناوری به فوربس بيان کرد که در حال انجام اقدامات «از روی احتیاط‌های فراوان» و برنامه‌ریزی برای عرضه وصله‌ای برای همه «دستگاه‌های پیکسل پشتیبانی‌شده در بازار» هستند. نگران سری پیکسل 9 نباشید زیرا هیچ یک از چهار مدل دارای Showcase.apk نیستند.

Verizon نیز از این گزارش مطلع شده است. آنها بیان می کنند که دیگر از تابع Showcase استفاده نمی کنند و به طور مشابه، حامل هیچ مدرکی دال بر بهره برداری مداوم ندیده است. با این حال، مانند Google، ورایزون در حال حذف این عملکرد از تلفن‌های پشتیبانی «به دلیل احتیاط فراوان» است.

در دسترس بودن پچ

ما برای شفاف‌سازی با گوگل تماس گرفتیم و همان سخنگوی قبلی اطلاعات مشابهی را به اشتراک گذاشت، اگرچه آنها اضافه کردند که این آسیب‌پذیری اندروید یا پیکسل نیست. در عوض، غول فناوری انگشت خود را به سمت اسمیت میکرو نشانه رفته است. آنها به ما می گویند که وصله برای تلفن های پیکسل در هفته آینده منتشر می شود و گوگل به دیگر سازندگان اندروید اطلاع می دهد، به این معنی که دستگاه های شخص ثالث ممکن است همین مشکل را داشته باشند.

هیچ اطلاعاتی در مورد اینکه چه زمانی اندرویدهای شخص ثالث تعمیر خود را دریافت خواهند کرد، وجود ندارد. احتمالاً همه اینها به دستور مارک های دیگر است.

اگر به دنبال راه هایی برای بهبود امنیت دستگاه هستید، هفت نکته TechRadar در مورد نحوه ایمن نگه داشتن گوشی هوشمند خود را تحلیل کنید.

شما هم ممکن است دوست داشته باشید