Bericht: Pixel-Handys mit heimlicher, aber inaktiver Fernwartung ausgeliefert
Pixel-Smartphones wurden auf Wunsch Verizons mit Fernwartungssoftware ausgeliefert. Wenn aktiviert, kann sie unsicheren Code nachladen.
Millionen Pixel-Handys wurden mit Fernwartungssoftware ausgeliefert, die sie anfällig für Spionagesoftware macht – laut Google aber nur, wenn der Täter physischen Zugriff auf das Gerät hat, das Passwort des Nutzers eingibt, und weiß, wie die normalerweise unsichtbare und inaktive Software zu aktivieren ist. Das berichtet unter anderem Forbes. Unter diesen Voraussetzungen könnte ein Angreifer auch beliebige andere Software installieren. Die Fernwartungssoftware soll auf Wunsch Verizons seit Beginn der Pixel-Handys 2017 eingebaut worden sein. Der US-Mobilfunker hat das Programm eine Zeit dazu genutzt, in seinen Verkaufsstellen Pixel-Handys vorzuführen.
Ob auch andere Android-Handys als Pixel betroffen sind, ist noch unklar. Aktive Ausnutzung ist nicht bekannt. Entdeckt hat die SicherheitslĂĽcke der "Endpoint Detection and Response"-Scanner (EDR) von Iverify auf einem Kundenhandy. iVerify konnte das gemeinsam mit dem betroffenen Kunden Palantir und der Sicherheitsfirma Trail of Bits auf ein verstecktes Android-Softwarepaket zurĂĽckfĂĽhren. Auch wenn die Software nicht mehr eingesetzt wird, befindet sie sich weiterhin in den Images der Pixel-Smartphones, wie "Trail of Bits"-CEO Dan Guido auf X anmerkt.
Tatsächlich lassen sich weiterhin von Googles offiziellen Servern Firmware-Images für die Pixel-Geräte herunterladen, die im product.img das Verzeichnis priv-app mit dem genannten Showcase.pkg enthalten, wie heise online anhand des Images von Android 14.0 für das Pixel 8a überprüfen konnte.
Laut iVerify lädt die Anwendung, einmal aktiviert, eine Konfigurationsdatei über eine unsichere Verbindung herunter, was zur Folge haben kann, dass Code auf Systemebene ausgeführt wird. Die Konfigurationsdatei wird von einer von AWS gehosteten Domain über ungesichertes HTTP abgerufen, was die Konfiguration und das Gerät anfällig macht für schädlichen Code, Spyware und Datenlöschung.
Das betroffene Paket ist in der Firmware von Pixel-Geräten vorinstalliert. Standardmäßig ist die Anwendung nicht aktiv; da sie aber Teil des Firmware-Images ist, könnten Millionen von Handys diese App auf Systemebene ausführen. Nutzer können Showcase.apk nicht selbst deinstallieren. Ein Update, das die inaktive Software entfernt, ist laut Verizon in Arbeit und soll "allen betroffenen OEM-Herstellern" zur Verfügung gestellt werden.
GrapheneOS-Autoren widersprechen
Kritik an der Veröffentlichung der Ergebnisse kommt von den Entwicklern von GrapheneOS, die Betreiber eines besonders sicheren Betriebssystems für Pixel-Geräte. Ihrer Ansicht nach sei das alles eine Marketing-Aktion für eine überbewertete Sicherheitsanwendung von iVerify. Wenn keine Verizon-SIM vorhanden sei, würde das Betriebssystem die entsprechende Carrier-Konfiguration nicht laden und die Apps könnten nicht ausgeführt werden, schreibt der Account "GrapheneOS" auf Mastodon. Sie könne "kaum mehr als das statische Scannen von APKs" und sei "eine verkrüppelte Antiviren-App". Weitere Kritik hagelte es für Palantir, einem "Massenüberwachungsunternehmen, das bei eklatanten Menschenrechtsverletzungen mitwirkt". Laut GrapheneOS sollte Trail of Bits "darüber nachdenken, ob sie als Partner von Palantir am Aufbau eines Polizeistaates mit allgegenwärtiger Überwachung beteiligt sein wollen".
FĂĽr Verizon entwickelt
Laut Medienberichten stammt Showcase.apk von Smith Micro, einem Unternehmen, das Software für Fernzugriff, Jugendschutz und Datenlöschung bereitstellt. "Dies ist weder eine Android- noch eine Pixel-Sicherheitslücke", sagte Google gegenüber Forbes. Die App sei für eine Demo-Funktion für Geschäfte des US-Mobilfunkanbieters Verizon entwickelt worden, komme aber nicht mehr zum Einsatz. Zur Aktivierung der App seien sowohl physischer Zugriff auf das Gerät als auch das Passwort des Nutzers erforderlich.
Die Funktion werde von Verizon nicht mehr verwendet und von Verbrauchern auch nicht, so ein Unternehmenssprecher gegenüber Forbes. Einen Hinweis auf die Ausnutzung der Lücke haben weder iVerify noch Verizon gefunden. Als Vorsichtsmaßnahme werde die Demo-Funktion von allen Geräten entfernt.
Die Entdeckung von Showcase.apk und ähnliche Vorfälle zeigen die Notwendigkeit größerer Transparenz und Diskussion um Drittanbieter-Apps, die Teil des Betriebssystems sind. Neu ist das Problem übrigens nicht – und auch nicht auf Pixel-Smartphones beschränkt: Schon 2016 beschwerte sich eine Person bei Verizon, dass sich eine "Verizon store demo mode app" auf seinem Samsung Galaxy Note 5 befände.
Absatz zu Aussagen von den GrapheneOS-Autoren ergänzt.
(mack)