Pixel-telefoons door standaard geïnstalleerde app kwetsbaar voor mitm-aanval
Miljoenen Pixel-telefoons lopen door een standaard geïnstalleerde app het risico op man-in-the-middle (mitm)-aanvallen, waardoor een aanvaller in het ergste geval het toestel kan overnemen. Het gaat om de app Showcase.apk, die sinds september 2017 standaard met Pixel-telefoons wordt meegeleverd. De Showcase-app is door softwarebedrijf Smith Micro ontwikkeld voor Verizon, zodat de telecomprovider toestellen in een demonstratiemodus kan zetten.
Volgens securitybedrijf iVerify beschikt de app over 'buitensporige systeemrechten', waaronder de mogelijkheid om op afstand code uit te voeren en applicaties te installeren. De Showcase-app blijkt via het onbeveiligde http een configuratiebestand te downloaden. Een aanvaller kan dit bestand manipuleren en zo code op systeemniveau uitvoeren om de telefoon over te nemen.
Gebruikers kunnen de app niet zomaar verwijderen. De Showcase-app staat standaard uitgeschakeld, maar een aanvaller met fysieke toegang tot het toestel zou de applicatie kunnen inschakelen. Mogelijk zijn er ook andere methodes om dit te doen, aldus de onderzoekers. Google laat tegenover Wired weten dat het 'de komende weken' de Showcase-app via een update zal verwijderen en dat de applicatie niet aanwezig is op de deze week aangekondigde Pixel 9-telefoons.
Zal denk ik via de maandelijkse update gaan gebeuren.
Via ADB kan deze apk file ook verwijdert worden denk ik.
Dat is via een shell inloggen in de telefoon en een of meerdere specifieke commando's uitvoeren.
https://grapheneos.social/@GrapheneOS/112967309987371034
Goed nieuws?
U heeft nog een ouderwetsche Nokia begrijp ik?
op de S serie is dat in ieder geval al vele jaren niet meer zo.
Maar dan nog zal deze worden geupdate.
op de S serie is dat in ieder geval al vele jaren niet meer zo.
Maar dan nog zal deze worden geupdate.
Ben jaren geleden vanwege dat soort praktijken als bloatware als van Nokia en Samsung afgestapt. ( nokia helpdesk tool gebruikt facebook),
Samsung instaleert een hoop zooi die indien niet gewenst er niet af kan zoals een nieus app, een eigen store en nog veel meer.
Feitelijk huren "eigenaren" van een toestel van samsung en nokia de apparaten, over de rug van personen want er is geen zeggenschap.
Veel van de applicaties hebben geen enkele uitleg over functionaliteit in het app overzicht.
Dus een "aanvaller" zou mijn toestel in handen moeten krijgen, dan nog eens langs mijn patroon (of PIN-code) geraken om dat ding te activeren en dan mijn toestel terug bezorgen. "mogelijk" zijn er nog andere manieren. Moet ik hier echt van wakker liggen?
https://www.reddit.com/r/GooglePixel/comments/1eu0oqi/psa_the_recent_showcaseapk_pixel_vulnerability_is/?rdt=61158
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
