تم شحن الملايين من Google Pixels مع ثغرة أمنية كبيرة
من المفترض أن يكون هذا الأسبوع بمثابة احتفال لشركة Google بعد ظهور Pixel 9 وPixel Watch 3 لأول مرة في حدث Made by Google، ولكن الآن، هناك تقرير مثير للقلق يهدد بإفساد المتعة. وفقًا لشركة الأمن السيبراني iVerify، فإن “نسبة كبيرة جدًا” من أجهزة Pixel التي تم شحنها منذ عام 2017 تضمنت برامج يمكن التلاعب بها لاختراق الهواتف.
كما لاحظت iVerify، كشفت تقنية اكتشاف نقطة النهاية والاستجابة لها (EDR) عن جهاز Android غير آمن في شركة Palantir Technologies في وقت سابق من هذا العام. فتحت iVerify تحقيقًا مشتركًا مع Palantir وTrail of Bits، وسرعان ما اكتشفوا حزمة Android يطلق عليها اسم Showcase.apk والتي تم تطويرها بواسطة Smith Micro في البرامج الثابتة.
يهدف رمز الحزمة إلى تحويل الهواتف إلى أجهزة تجريبية، بحيث يمكن لمتجر مثل Best Buy أو Verizon إعداد الهاتف على الشاشة. تكمن المشكلة في أن الحزمة تحتوي أيضًا على امتيازات نظام عالية المستوى وغير ضرورية على الإطلاق، مثل تنفيذ التعليمات البرمجية عن بُعد وإمكانات تثبيت الحزمة عن بُعد.
وقال باحثو iVerify في تقرير على المدونة: “إن ثغرة التطبيق تجعل الملايين من أجهزة Android Pixel عرضة لهجمات الرجل في الوسط، مما يمنح مجرمي الإنترنت القدرة على حقن تعليمات برمجية ضارة وبرامج تجسس خطيرة”. “يمكن لمجرمي الإنترنت استخدام الثغرات الأمنية في البنية التحتية للتطبيق لتنفيذ التعليمات البرمجية أو أوامر shell مع امتيازات النظام على أجهزة Android للاستيلاء على الأجهزة لارتكاب الجرائم الإلكترونية والانتهاكات.”
من الواضح أن هذا اكتشاف مثير للقلق بشكل لا يصدق، ولكن الخبر السار هو أن جوجل تعمل بالفعل على إصلاح هواتف Pixel الخاصة بها.
وقال إد فرنانديز، المتحدث الرسمي باسم جوجل: “من باب الاحتياط الزائد، سنقوم بإزالة هذا من جميع أجهزة Pixel المدعومة في السوق من خلال تحديث برنامج Pixel القادم”. واشنطن بوست مساء الخميس.
أن تأتي متأخرًا أفضل من ألا تأتي أبدًا، حيث ذكرت iVerify أنها “أخطرت Google بتقرير تفصيلي عن نقاط الضعف بعد عملية الكشف التي استمرت 90 يومًا”. حتى أن شركة Palantir Technologies كانت مهتمة بما يكفي “لإزالة أجهزة Android من أسطولها المحمول والانتقال بالكامل إلى أجهزة Apple خلال السنوات القليلة المقبلة.” ولكن على الأقل تحديث البرنامج قادم.
