Tech HVG 2024. augusztus. 16. 10:03

2017 óta tátong egy hatalmas biztonsági rés a Google több millió mobiljában

Különös forrása van egy frissen felfedezett sebezhetőségnek: a Google Pixel készülékeket egy bolti demó mód teszi veszélyessé immáron hét éve. Ezt nem a Google fejlesztette, ráadásul a felhasználó nem is tudja törölni a probléma forrását jelentő alkalmazás.

2017 óta van jelen egy súlyos sebezhetőség a Google Pixel okostelefonok „nagyon nagy százalékában”, mutatott rá az iVerify mobilbiztonsági cég vizsgálata.

A kutatók szerint nem maga az Android a ludas, hanem egy olyan, külső fejlesztő által készített program, amely mély hozzáféréssel rendelkezik a rendszerhez. Ez nem más, mint a Verizon nevű amerikai távközlési szolgáltató szoftvere, a „Showcase.apk”, amit akkor aktiválnak, amikor az adott készülék egy üzletben van kiállítva bemutatódarabként. Ez egyfajta „demó módot” jelenít meg, melyhez hasonlót szinte bármilyen üzletben láthat, ahol ki vannak állítva mobilok – márkától függetlenül: animációk, adatok jelennek meg a készülékről, amikor épp senki nem nyomkodja őket.

Ezt persze nem lehet csak úgy aktiválni, de a Pixelek esetében úgy tűnik, sok eszköz rendszerébe bele volt építve ez a lehetőség, hogy szükség esetén el lehessen indítani. Pedig, mint az iVerify szakemberei rámutattak, ez a szoftver titkosított kapcsolaton keresztül töltött le egy konfigurációs fájlt, ami a Showcase app mély rendszerhozzáférése miatt veszélyes: ezt kiaknázva ugyanis a rosszindulatú felek távoli kódfuttatást is végezhettek, valamint csomagokat telepíthettek az eszközre – írja az Engadget.

Az Android magjában találtak egy nagyon súlyos hibát, támadók már aktívan kihasználják

Nincs szükség arra, hogy valamire rákattintson a felhasználó, anélkül is kihasználható egy új hiba. A jó hír, hogy a javítás már megérkezett hozzá, kérdés, mikor kapja meg minden érintett készülék.

Az már csak hab a tortán, hogy az alkalmazást a felhasználó nem tudja törölni az eszközről. Ugyan alapértelmezetten nem aktív a program, de a kutatók szerint számos lehetőség van az aktiválására. Az iVerify már májusban jelentette a sebezhetőséget a Google-nek, és jelenleg nincs bizonyíték arra, hogy kihasználták volna a támadók.

A technológiai óriás a Wired érdeklődésére elmondta: az alkalmazást már nem használja a Verizon, és néhány héten belül kiadnak egy frissítést, mely eltávolítja a problémás appot az összes érintett Pixel készülékről. A napokban bejelentett Pixel 9-szériás mobilokon azonban már nincs jelen a problémás alkalmazás.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.

Vállalkozás Gyükeri Mercédesz, Rácz Gergő 2024. december. 29. 17:30

Ahol a rizs az isten és perui a spárga: a Nobuban jártunk

Lehet variálni egy felső polcos étteremlánc menüsorában, vagy az főben járó vétek? Honnét tudja egy ázsiai kulináriát szolgáló étterem beszerezni az alapanyagait Budapesten, és hogy lesz a megoldás végül Spanyolország? Ezekről és sok másról faggattuk a Nobu Budapest séfjét, Schreiner Gábort, közben azt is megkérdeztük, hogy a halak filézése közben milyen gyakran vágja meg a kezét.