تم ترك جميع هواتف Google Pixel تقريبًا مكشوفة بسبب خلل لم يتم إصلاحه في تطبيق Android المخفي
يعتبر خط الهاتف الذكي Pixel الرائد من Google الأمان ميزة أساسية، حيث يقدم تحديثات برامج مضمونة لمدة سبع سنوات ويعمل بنظام Android الذي من المفترض أن يكون خاليًا من الوظائف الإضافية وبرامج bloatware التابعة لجهات خارجية. ومع ذلك، في يوم الخميس، نشر باحثون من شركة أمن الأجهزة المحمولة iVerify نتائج حول ثغرة أمنية في Android يبدو أنها كانت موجودة في كل إصدار Android لـ Pixel منذ سبتمبر 2017 ويمكن أن تعرض الأجهزة للتلاعب والاستيلاء.
تتعلق المشكلة بحزمة برامج تسمى “Showcase.apk” تعمل على مستوى النظام وتكون غير مرئية للمستخدمين. تم تطوير التطبيق من قبل شركة برمجيات المؤسسات سميث مايكرو لشركة Verizon كآلية لوضع الهواتف في الوضع التجريبي لمتجر البيع بالتجزئة – وهو ليس برنامج Google. ومع ذلك، فقد ظل موجودًا لسنوات عديدة في كل إصدار من إصدارات Android لجهاز Pixel ويتمتع بامتيازات النظام العميقة، بما في ذلك تنفيذ التعليمات البرمجية عن بُعد وتثبيت البرامج عن بُعد. والأكثر خطورة هو أن التطبيق مصمم لتنزيل ملف تكوين عبر اتصال ويب HTTP غير مشفر، والذي يقول باحثو iVerify إنه يمكن أن يتم اختراقه من قبل مهاجم للسيطرة على التطبيق ثم جهاز الضحية بأكمله.
كشفت iVerify عن النتائج التي توصلت إليها إلى Google في بداية شهر مايو، ولم يصدر عملاق التكنولوجيا بعد إصلاحًا لهذه المشكلة. أخبر المتحدث باسم Google Ed Fernandez WIRED في بيان أن Showcase “لم يعد مستخدمًا” بواسطة Verizon، وسيقوم Android بإزالة Showcase من جميع أجهزة Pixel المدعومة مع تحديث البرنامج “في الأسابيع المقبلة”. وأضاف أن جوجل لم تر دليلاً على الاستغلال النشط وأن التطبيق غير موجود في أجهزة سلسلة Pixel 9 الجديدة التي أعلنت عنها جوجل هذا الأسبوع. لم تستجب Verizon وSmith Micro لطلبات WIRED للتعليق قبل النشر.
يقول روكي كول، الرئيس التنفيذي للعمليات في iVerify والمحلل السابق بوكالة الأمن القومي الأمريكية: “لقد رأيت الكثير من نقاط الضعف في Android، وهذه الثغرات فريدة من نوعها من عدة جوانب ومزعجة للغاية”. “عند تشغيل Showcase.apk، يكون لديه القدرة على السيطرة على الهاتف. لكن الكود بصراحة رديء. إنه يثير تساؤلات حول سبب عدم اختبار برامج الطرف الثالث التي تعمل بمثل هذه الامتيازات العالية في نظام التشغيل بشكل أعمق. يبدو لي أن Google تعمل على دفع برامج bloatware إلى أجهزة Pixel حول العالم.”
اكتشف باحثو iVerify التطبيق بعد أن قام الماسح الضوئي للكشف عن التهديدات التابع للشركة بوضع علامة على التحقق غير المعتاد من تطبيق Google Play Store على جهاز المستخدم. عمل العميل، شركة تحليل البيانات الضخمة Palantir، مع iVerify للتحقيق في Showcase.apk والكشف عن النتائج إلى Google. يقول Dane Stuckey، كبير مسؤولي أمن المعلومات في شركة Palantir، إن هذا الاكتشاف وما وصفه باستجابة Google البطيئة والمبهمة دفع شركة Palantir إلى التخلص التدريجي ليس فقط من هواتف Pixel، ولكن أيضًا من جميع أجهزة Android في جميع أنحاء الشركة.
يقول ستوكي لمجلة WIRED: “إن قيام Google بتضمين برامج تابعة لجهات خارجية في البرامج الثابتة لنظام Android وعدم الكشف عن ذلك للبائعين أو المستخدمين يخلق ثغرة أمنية كبيرة لأي شخص يعتمد على هذا النظام البيئي”. وأضاف أن تفاعلاته مع جوجل خلال فترة الإفصاح القياسية البالغة 90 يومًا “أدت إلى تآكل ثقتنا في النظام البيئي بشكل كبير”. ولحماية عملائنا، كان علينا اتخاذ القرار الصعب بالابتعاد عن Android في مؤسستنا.”