تتباهى هواتف Pixel الذكية الرائدة من Google بالأمان كميزة أساسية، حيث تقدم تحديثات برمجية مضمونة لمدة سبع سنوات وتعمل بنظام Android الأساسي الذي من المفترض أن يكون خاليًا من الإضافات والبرامج غير الضرورية. ومع ذلك، نشر باحثون من شركة iVerify لأمن الأجهزة المحمولة يوم الخميس نتائجهم بشأن ثغرة أمنية في Android يبدو أنها كانت موجودة في كل إصدار Android لـ Pixel منذ سبتمبر 2017 ويمكن أن تعرض الأجهزة للتلاعب والاستيلاء.
تتعلق المشكلة بحزمة برامج تسمى “Showcase.apk” تعمل على مستوى النظام وتختبئ غير مرئية للمستخدمين. تم تطوير التطبيق بواسطة شركة البرمجيات المؤسسية Smith Micro لشركة Verizon كآلية لوضع الهواتف في وضع تجريبي لمتجر البيع بالتجزئة – إنه ليس برنامجًا من Google. ومع ذلك، لسنوات، كان موجودًا في كل إصدار Android لـ Pixel ولديه امتيازات نظام عميقة، بما في ذلك تنفيذ التعليمات البرمجية عن بُعد وتثبيت البرامج عن بُعد. والأكثر خطورة، تم تصميم التطبيق لتنزيل ملف تكوين عبر اتصال ويب HTTP غير مشفر يقول باحثو iVerify إنه يمكن اختطافه من قبل مهاجم للسيطرة على التطبيق ثم جهاز الضحية بالكامل.
كشفت شركة iVerify عن نتائجها لشركة Google في بداية شهر مايو، ولم تصدر شركة التكنولوجيا العملاقة حتى الآن إصلاحًا للمشكلة. صرح المتحدث باسم Google، Ed Fernandez، لـ WIRED في بيان أن تطبيق Showcase “لم يعد قيد الاستخدام” من قبل Verizon، وسيقوم Android بإزالة Showcase من جميع أجهزة Pixel المدعومة من خلال تحديث البرنامج “في الأسابيع المقبلة”. وأضاف أن Google لم تر أدلة على الاستغلال النشط وأن التطبيق غير موجود في أجهزة سلسلة Pixel 9 الجديدة التي أعلنت عنها Google هذا الأسبوع. لم تستجب Verizon وSmith Micro لطلبات WIRED للتعليق قبل النشر.
يقول روكي كول، كبير مسؤولي التشغيل في iVerify ومحلل سابق في وكالة الأمن القومي الأمريكية: “لقد رأيت الكثير من نقاط الضعف في نظام أندرويد، وهذه واحدة فريدة من نوعها في عدة جوانب ومزعجة للغاية”. “عندما يتم تشغيل Showcase.apk، فإنه يمتلك القدرة على الاستيلاء على الهاتف. لكن الكود، بصراحة، رديء. إنه يثير تساؤلات حول سبب عدم اختبار برامج الطرف الثالث التي تعمل بامتيازات عالية جدًا في نظام التشغيل بشكل أعمق. يبدو لي أن جوجل كانت تدفع برامج bloatware إلى أجهزة Pixel في جميع أنحاء العالم”.
اكتشف باحثو iVerify التطبيق بعد أن أشار ماسح الكشف عن التهديدات الخاص بالشركة إلى التحقق غير المعتاد من صحة تطبيق متجر Google Play على جهاز المستخدم. وعمل العميل، شركة تحليلات البيانات الضخمة Palantir، مع iVerify للتحقيق في Showcase.apk والإفصاح عن النتائج إلى Google. يقول كبير مسؤولي أمن المعلومات في Palantir Dane Stuckey إن الاكتشاف وما يصفه بالاستجابة البطيئة وغير الشفافة من Google دفع Palantir إلى التخلص التدريجي ليس فقط من هواتف Pixel، ولكن من جميع أجهزة Android في جميع أنحاء الشركة.
يقول ستوكي لموقع WIRED: “إن قيام جوجل بتضمين برامج تابعة لجهات خارجية في البرامج الثابتة لنظام أندرويد وعدم الكشف عن ذلك للبائعين أو المستخدمين يخلق ثغرة أمنية كبيرة لأي شخص يعتمد على هذا النظام البيئي”. وأضاف أن تفاعلاته مع جوجل خلال فترة الكشف القياسية التي تبلغ 90 يومًا “تسببت في تآكل ثقتنا في النظام البيئي بشكل خطير. لحماية عملائنا، كان علينا اتخاذ القرار الصعب بالابتعاد عن أندرويد في مؤسستنا”.