Seit September 2017 wurden Millionen von Google Pixel-Geräten mit einer schwerwiegenden Sicherheitslücke ausgeliefert, die sie potenziell anfällig für gefährliche Cyberangriffe machen könnte.
Die Schwachstelle befindet sich in einer vorinstallierten Android-App und könnte es böswilligen Akteuren ermöglichen, eine Vielzahl von Schadprogrammen zu verbreiten und Schadcode auszuführen, wodurch die Daten und die Privatsphäre der Nutzerinnen und Nutzer gefährdet werden.
Die Schwachstelle ist auf eine Android-App namens „Showcase.apk“ zurückzuführen, die auf einer beträchtlichen Anzahl von Pixel-Geräten vorinstalliert ist. Laut iVerify, einem Unternehmen für mobile Sicherheit, verfügt diese App über übermäßige Systemberechtigungen, einschließlich der Möglichkeit, Code aus der Ferne auszuführen und beliebige Pakete auf dem Gerät zu installieren.
„Die Anwendung lädt eine Konfigurationsdatei über eine unsichere Verbindung herunter und kann manipuliert werden, um Code auf Systemebene auszuführen“, so iVerify in einer detaillierten Analyse, die in Zusammenarbeit mit Palantir Technologies und Trail of Bits durchgeführt wurde.
Der Bericht zeigt, dass die App ihre Konfigurationsdatei von einer einzigen US-amerikanischen Domain abruft, die auf Amazon Web Services (AWS) über eine ungesicherte HTTP-Verbindung gehostet wird. Durch diese unsichere Übertragung ist die Konfigurationsdatei anfällig für das Abfangen und die Manipulation, wodurch das Gerät gefährdet wird.
Sicherheitsrisiko durch Verizon Demo Mode App
ie Verizon Retail Demo Mode App, die als „com.customermobile.preload.vzw“ identifiziert wurde, ist auf vielen Google Pixel Geräten vorinstalliert. Diese App verlangt fast drei Dutzend Berechtigungen, darunter den Zugriff auf Standortdaten und externen Speicher. Sie ist mindestens seit August 2016 im Umlauf.
Das Hauptproblem besteht darin, dass die App ihre Konfigurationsdatei über eine unverschlüsselte HTTP-Verbindung statt über HTTPS herunterlädt. Diese fehlende Verschlüsselung ermöglicht es potenziellen Angreifern, die Datei abzufangen, zu verändern und möglicherweise Schadcode einzuschleusen.
- Fast 36 Berechtigungen benötigt
- Unverschlüsselte HTTP-Verbindung angreifbar
- Verfügbar seit August 2016
Obwohl keine Hinweise auf eine aktive Ausnutzung vorliegen, stellt die Schwachstelle weiterhin ein erhebliches Risiko für betroffene Geräte dar.
Keine Google-Software: Die Rolle von Drittanbietern
Die Anwendung „Showcase.apk“, die nicht von Google entwickelt wurde, wurde von Smith Micro erstellt, um den Demo-Modus auf Geräten für Präsentationen in Geschäften zu aktivieren. Auf Wunsch von Verizon wurde sie jedoch direkt in die Android-Firmware der Google-Pixel-Geräte integriert.
Diese Drittanbieter-Software macht Google Pixel-Smartphones anfällig für „Adversary-in-the-Middle“-Angriffe (AitM). Bei solchen Angriffen könnte ein böswilliger Akteur die Kommunikation zwischen dem Gerät und dem Server abfangen und Schadcode oder Spyware einschleusen. Aufgrund der hohen Systemprivilegien der Anwendung könnte diese Schwachstelle dem Angreifer eine weitreichende Kontrolle über das kompromittierte Gerät ermöglichen.
Technische Schwachstellen: Ausnutzung von System-Privilegien
Die App „Showcase.apk“ weist mehrere technische Schwachstellen auf, die das Sicherheitsrisiko erhöhen:
- Die Authentifizierung oder Verifizierung einer statisch definierten Domäne beim Abruf der Konfigurationsdatei schlägt fehl.
- Verwendung einer unsicheren Standardinitialisierung von Variablen bei der Zertifikats- und Signaturprüfung
- Ermöglicht Angreifern möglicherweise die Umgehung von Sicherheitsmechanismen.
Obwohl diese Schwachstellen die Anwendung angreifbar machen, ist das Risiko etwas geringer, da die Anwendung standardmäßig nicht aktiviert ist. Um sie auszunutzen, müsste ein Angreifer physischen Zugriff auf das Gerät haben und den Entwicklermodus aktivieren.
Googles Reaktion: Behebung der Schwachstelle
Google reagierte auf die Schwachstellenfunde mit folgenden Klarstellungen:
- Das Problem ist kein Fehler der Android-Plattform oder spezifisch für Pixel-Geräte.
- Die Schwachstelle bezieht sich auf ein Softwarepaket, das für die In-Store-Demo-Geräte von Verizon entwickelt wurde.
- Die Ausnutzung der Schwachstelle erfordert physischen Zugriff auf das Gerät und das Passwort des Benutzers.
- Es gibt keine Hinweise auf eine aktive Ausnutzung dieser Schwachstelle.
Maßnahmen:
- Google wird die App in einem kommenden Software-Update von allen unterstützten Pixel-Geräten entfernen.
- Auf Geräten der Pixel-9-Serie ist die App nicht verfügbar.
Google informiert auch andere Android-OEMs, damit diese das Problem beheben.
Dieser Vorfall verdeutlicht die anhaltenden Herausforderungen bei der Sicherung mobiler Geräte in einem komplexen digitalen Ökosystem. Das Vorhandensein von Software von Drittanbietern in der Firmware des Google Pixel unterstreicht einmal mehr die Notwendigkeit strenger Sicherheitstests und Prüfverfahren.