Millionen Pixel-Handys wurden mit Fernwartungssoftware ausgeliefert, die sie anfällig für Spionagesoftware macht – laut Google aber nur, wenn der Täter physischen Zugriff auf das Gerät hat, das Passwort des Nutzers eingibt, und weiß, wie die normalerweise unsichtbare und inaktive Software zu aktivieren ist. Das berichtet unter anderem Forbes. Unter diesen Voraussetzungen könnte ein Angreifer auch beliebige andere Software installieren. Die Fernwartungssoftware soll auf Wunsch Verizons seit Beginn der Pixel-Handys 2017 eingebaut worden sein. Der US-Mobilfunker hat das Programm eine Zeit dazu genutzt, in seinen Verkaufsstellen Pixel-Handys vorzuführen.
Anzeige
Ob auch andere Android-Handys als Pixel betroffen sind, ist noch unklar. Aktive Ausnutzung ist nicht bekannt. Entdeckt hat die Sicherheitslücke der "Endpoint Detection and Response"-Scanner (EDR) von Iverify auf einem Kundenhandy. iVerify konnte das gemeinsam mit dem betroffenen Kunden Palantir und der Sicherheitsfirma Trail of Bits auf ein verstecktes Android-Softwarepaket zurückführen. Auch wenn die Software nicht mehr eingesetzt wird, befindet sie sich weiterhin in den Images der Pixel-Smartphones, wie "Trail of Bits"-CEO Dan Guido auf X anmerkt.
Tatsächlich lassen sich weiterhin von Googles offiziellen Servern Firmware-Images für die Pixel-Geräte herunterladen, die im product.img das Verzeichnis priv-app mit dem genannten Showcase.pkg enthalten, wie heise online anhand des Images von Android 14.0 für das Pixel 8a überprüfen konnte.
Laut iVerify lädt die Anwendung, einmal aktiviert, eine Konfigurationsdatei über eine unsichere Verbindung herunter, was zur Folge haben kann, dass Code auf Systemebene ausgeführt wird. Die Konfigurationsdatei wird von einer von AWS gehosteten Domain über ungesichertes HTTP abgerufen, was die Konfiguration und das Gerät anfällig macht für schädlichen Code, Spyware und Datenlöschung.
Das betroffene Paket ist in der Firmware von Pixel-Geräten vorinstalliert. Standardmäßig ist die Anwendung nicht aktiv; da sie aber Teil des Firmware-Images ist, könnten Millionen von Handys diese App auf Systemebene ausführen. Nutzer können Showcase.apk nicht selbst deinstallieren. Ein Update, dass die inaktive Software entfernt, ist laut Verizon in Arbeit, und soll "allen betroffenen OEM-Herstellern" zur Verfügung gestellt werden.
Anzeige
Laut Medienberichten stammt Showcase.apk von Smith Micro, einem Unternehmen, das Software für Fernzugriff, Jugendschutz und Datenlöschung bereitstellt. "Dies ist weder eine Android-Plattform noch eine Pixel-Sicherheitslücke", sagte Google gegenüber Forbes. Die App sei für eine Demo-Funktion für Geschäfte des US-Mobilfunkanbieters Verizon entwickelt worden, komme aber nicht mehr zum Einsatz. Zur Aktivierung der App seien sowohl physischer Zugriff auf das Gerät als auch das Passwort des Nutzers erforderlich.
Die Funktion werde von Verizon nicht mehr verwendet und von Verbrauchern auch nicht, so ein Unternehmenssprecher gegenüber Forbes. Einen Hinweis auf die Ausnutzung der Lücke haben weder iVerify noch Verizon gefunden. Als Vorsichtsmaßnahme werde die Demo-Funktion von allen Geräten entfernt.
Die Entdeckung von Showcase.apk und ähnliche Vorfälle zeigen die Notwendigkeit größerer Transparenz und Diskussion um Drittanbieter-Apps, die Teil des Betriebssystems sind. Neu ist das Problem übrigens nicht – und auch nicht auf Pixel-Smartphones beschränkt: Schon 2016 beschwerte sich eine Person bei Verizon, dass sich eine "Verizon store demo mode app" auf seinem Samsung Galaxy Note 5 befände.
(