De makers van GrapheneOS hekelen de berichtgeving van Wired over de standaard geïnstalleerde Showcase-app op veel Pixel-telefoons, waardoor een man-in-the-middle (mitm)-aanval mogelijk is en aanvallers in het ergste geval telefoons kunnen overnemen. De app staat standaard uitgeschakeld en om die in te schakelen moet een aanvaller over fysieke toegang beschikken, zo liet securitybedrijf iVerify gisteren weten.
De Showcase-app is door een externe partij voor telecomprovider Verizon ontwikkeld en wordt sinds 2017 standaard op Pixel-telefoons geïnstalleerd. Via de app is het mogelijk om Pixel-telefoons in een demonstratiemodus te zetten. De Showcase-app blijkt via het onbeveiligde http een configuratiebestand te downloaden. Een mitm-aanvaller kan dit bestand manipuleren en zo code op systeemniveau uitvoeren om de telefoon over te nemen.
Volgens GrapheneOS wordt er ten onrechte door iVerify gesuggereerd dat het hier om een ernstig beveiligingsprobleem gaat. Het securitybedrijf wil op deze manier de eigen beveiligingsoplossingen pushen, aldus GrapheneOS op X en Mastodon. Dit is een op Android-gebaseerd besturingssysteem voor Pixel-telefoons dat zich vooral op security en privacy richt.
De Showcase-app is niet aanwezig op GrapheneOS. Ook andere telecomprovider-apps die standaard op Pixel-telefoons aanwezig zijn ontbreken op het besturingssysteem. GrapheneOS waarschuwde jaren geleden al voor de aanwezigheid van dergelijke apps op Pixel-telefoons. De ontwikkelaars hekelen de manier waarop Wired over de Showcase-app bericht en vinden dat het medium het artikel moet intrekken. "Er zijn echte remote code execution kwetsbaarheden die in Android en iOS worden verholpen, maar ze pushen dit."
De makers van GrapheneOS stellen ook dat de 'misinformatie' voor schade kan zorgen, omdat het mensen zou aanmoedigen minder veilige Androidtelefoons te gebruiken. "Niet-Pixels missen basale beveiligingseigenschappen. Deze apps zijn op geen enkele manier Pixel-specifiek." Daarbij wijst GrapheneOS erop dat het zelf een veiligere oplossing biedt. Google heeft laten weten de Showcase-app uit voorzorg via een update van Pixel-telefoons te zullen verwijderen.
Deze posting is gelocked. Reageren is niet meer mogelijk.