Google对Pixel手机发布固件更新以修复安全漏洞

文章要点

Google近日宣布将为某些Pixel手机发布固件更新，此举是由于报告显示这些手机系统中存在一个不安全的Android包APK，可能被利用来安装恶意应用。

移动安全公司iVerify在报告中披露了对这个名为Showcaseapk的包的分析。该报告由Trail of Bits的安全顾问和数据分析公司Palantir Technologies的网络事件响应团队成员共同撰写，内容在周四公布。

iVerify团队在Palantir Technologies的一台Android设备上发现了该APK，该设备的端点检测与响应EDR解决方案对此进行了标记。

iVerify进一步分析Showcaseapk，并结合Trail of Bits在2024年5月初进行的技术安全分析，发现该软件具有高“系统级”权限，能够通过不安全的HTTP从单一域名获取配置文件，且存在代码缺陷使得验证绕过成为可能，此外，报告指出该APK在大量Pixel设备上有所安装。

“Showcaseapk似乎在2017年以来售出的每一部Pixel手机上都有存在。我们有理由相信这个包可能也安装在其他Android型号上，Google也表示了同样的观点。”iVerify首席运营官Rocky Cole告诉SC Media。

Google发言人在给SC Media的邮件中表示，该APK并不存在于Pixel 9系列设备上，公司计划在即将推出的软件更新中将该包从所有受支持的在售Pixel设备中移除，“以确保安全性。”

该发言人进一步说明：“这不是Android平台或Pixel的漏洞，而是Smith Micro为Verizon店内演示设备开发的APK，目前已不再使用。要在用户手机上利用该应用，必须同时访问设备和用户密码。我们没有看到任何活跃利用的证据。”

Google还表示，将通知其他Android原始设备制造商OEM有关该APK的情况，并指出Showcase应用程序由Verizon拥有，且在Verizon销售的所有Android设备上都是必需的。

SC Media尝试联系开发该APK代码的Smith Micro Software，以及Verizon，但未收到这两家公司任何回应。

Showcaseapk漏洞，易受中间人攻击

Showcaseapk是由Smith Micro开发的，目的是让手机用于Verizon地区的店内演示。尽管根据iVerify的说法，该APK嵌入了许多Pixel手机的固件中，可能涉及到数百万设备，但Google表示该APK并未默认激活，只有在有人拥有该手机的物理访问权限时才能激活。

iVerify和Trail of Bits的研究者在报告中指出，Showcase存在多个问题，可能被利用进行远程恶意应用安装，前提是Showcase已经在目标设备上激活。

首先，研究者指出，Showcase运行在“过高”的权限下，这使其能够在设备上安装和删除程序包。其次，该包通过不加密的HTTP从单一的AWShosted命令和控制域获取配置文件，可能易受中间人MITM攻击。

最后，尽管配置文件具有一个有效的签名，该签名与APK中存储的rootder文件进行验证，通常可以防止MITM攻击，但在验证代码中的一个缺陷使得可以绕过这种验证。

Trail of Bits的技术报告详细说明，配置文件可能包含“payload”和“payloadgzip”字段，但实际上只需这两个字段中的一个与签名验证匹配，即可被接受。因此，攻击者可以将自己的代码注入到其中一个字段中，而该文件仍然会根据另一个字段的有效签名被接受。

Trail of Bits团队测试并确认使用Burp Suite工具可以模拟检索和注入与设备上运行Showcase的恶意版本的有效配置文件，从而实现MITM拦截。

通过利用这些漏洞，攻击者可以利用Showcase的权限来安装自己的恶意APK。

iVerify COO描述与Google沟通的中断

iVerify在90天的披露流程后向Google报告了这些问题，Cole表示Google承认了该报告，