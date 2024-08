Sicherheitsforscher haben eine problematische Komponente auf den Pixel-Smartphones entdeckt, die das Potenzial zur großen Sicherheitslücke hat. Eine auf viele Millionen Pixel-Smartphones vorinstallierte App würde Angreifern die Möglichkeit bieten, die volle Kontrolle über das Gerät zu übernehmen. Auch wenn es eher theoretischer Natur ist, will Google die App von allen Smartphones entfernen.



Auf allen seit September 2017 verkauften Pixel-Smartphones befindet sich eine App mit der Bezeichnung „showcase.apk“. Dabei handelt es sich um eine tief integrierte System-App mit umfangreichen Berechtigungen, die unter anderem das Nachladen von ausführbarem Code ermöglichen – und das über eine Konfigurationsdatei per unverschlüsselter Verbinder. Angreifer hätten daher die Möglichkeit, die App als Tor zu verwenden. Sie könnten die Konfigurationsdatei manipulieren, die App würde den Schadcode herunterladen und ohne Nachfrage ausführen.

Das klingt nach einer schweren Sicherheitslücke, allerdings nur in der Theorie. Denn die App ist zwar seit September 2017 auf allen Pixel-Smartphones weltweit zu finden, ist aber standardmäßig deaktiviert. Nutzer müssten sie also einmalig aktivieren, um sich selbst angreifbar zu machen. Bei der App handelt es sich um eine Demo-App, die von den in Verizon-Shops (USA) ausgestellten Geräten ausgeführt werden sollte. Warum eine solche App, die nur auf wenigen Hundert oder maximal Tausend Geräten überhaupt gebraucht wird, auf allen Pixel-Smartphones vorhanden sein muss, hat Google nicht verraten.

Google spielt das Problem zwar (sicherlich zurecht) herunter, will aber dennoch reagieren. Auf den Pixel 9-Smartphones ist die App nicht mehr zu finden und per kommendem Update will man sie von allen anderen Pixel-Smartphones ersetzen oder entfernen. Details hat man dazu aber noch nicht bekannt gegeben.

[iVerify]