Kyberturvallisuusyhtiö iVerify on kertonut torstaina julkaistussa raportissaan löytäneensä Suomessakin myytävistä Googlen Pixel-puhelimista vaarallisen haavoittuvuuden.

iVerifyn raportin mukaan Pixel-puhelimista, joita on toimitettu maailmanlaajuisesti syyskuusta 2017 alkaen, löytyy Showcase.apk-niminen ohjelmistopaketti, joka on vaarallinen. Paketilla on liiallisia järjestelmäoikeuksia, mukaan lukien etäkoodin suorittaminen ja paketin etäasennusominaisuudet, jotka voivat olla ongelmallisia.

Oikeudet mahdollistavat se, että sovellus lataa määritystiedoston suojaamattoman yhteyden kautta ja sitä voidaan käsitellä suorittamaan koodia järjestelmätasolla. Sovellus hakee määritystiedoston yhdestä yhdysvaltalaisesta, AWS-isännöidystä verkkotunnuksesta suojaamattoman HTTP:n kautta, mikä jättää määrityksen haavoittuvaiseksi ja voi tehdä laitteesta haavoittuvan.

Täten kyseinen haavoittuvuus jättää miljoonat Pixel-laitteet alttiiksi man-in-the-middle (MITM) -hyökkäyksille, mikä antaa kyberrikollisille mahdollisuuden syöttää haitallista koodia ja vaarallisia vakoiluohjelmia.

Kyberrikolliset voivat lisäksi käyttää sovelluksen infrastruktuurin haavoittuvuuksia suorittaakseen koodi- tai komentotulkkikomentoja järjestelmäoikeuksilla Pixel-laitteissa ottaakseen haltuunsa laitteita kyberrikosten ja tietomurtojen tekemiseksi.

Raportin mukaan ongelmaan ei ole suoraa ratkaisua. Kyseistä ohjelmistopakettia ei tarvita kuitenkaan pakollisesti Android-puhelimissa.

iVerifyn kokonaisraportti on luettavissa täältä.