Pixel-Handys mit heimlicher aber inaktiver Fernwartung ausgeliefert.

[19087]

Pixel-Smartphones wurden auf Wunsch Verizons mit Fernwartungssoftware ausgeliefert, weltweit. Wenn aktiviert, kann sie unsicher Code nachladen.

Keine guten Nachrichten für Google Pixel Nutzer:
Auf Wunsch des US Mobildfunkanbieters Verizon liefert Google seit Beginn der Pixel Smartponereihe 2017, deren Software mit einer Fernwartungssoftware aus. Auch aktuelle Images, wie etwa die des Google Pixel 8a mit Android 14, enthalten diese Software in deren Images, die von ofiziellen Servern von Google heruntergeladen werden können.
Google beschwichtigt, dass die Fernwartungssoftware nur funktioniere, wenn der Täter physischen Zugriff auf das Gerät hat und das Passwort des Nutzers eingibt.
Wie sehr man dieser Aussage glauben schenken möchte, soll bitte jeder für sich entscheiden, aus meiner Sicht jedoch würde dies ja dem Sinn einer Fernwartungssoftware zuwiederlaufen und den Sinn untergraben, denn dann muss man ja nicht fernwarten

Ist die Software einmal aktiv, so lädt sich eine Konfigurationsdatei über eine nicht gesicherte HTTP Verbindung einer von AWS gehosteten Domain, wodurch Code mit Systemprivilegien ausgeführt werden kann. Dies macht das Gerät anfällig für Spyware, schädliche Codeausführung und Datenlöschung.

Bericht: Pixel-Handys mit heimlicher, aber inaktiver Fernwartung ausgeliefert

Ich empfehle allen, auch den originalen Bericht von iVerify zu lesen, der hier zu finden ist:
iVerify Discovers Android Vulnerability Impacting Millions of Pixel Devices Around the World

Der originale Report von iVerify hat 40 Seiten und kann hier heruntergeladen werden:
Download Showcase.apk Vulnerability Disclosure


Ich ersuche alle dies als reine Information zu sehen und nicht als Anfangspunkt für irgendwelche Verschwörungstheorieren, etc. Bitte diskutiert sachlich darüber und versucht auch Bedenken etwaiger Nutzer nicht vom Tisch zu kehren. Vielen Dank euch!

 

[swa00]

Gibt es das nicht schon immer ? besonders auf Samsung-Geräten ?

, so lädt sich eine Konfigurationsdatei über eine nicht gesicherte HTTP Verbindung einer von AWS gehosteten Domain

Das halte ich für ein Gerücht - denn AWS Buckets haben immer schon SSL Verbindungen incl. Tokens.
Zumal ab A10 das System ansich keine externe ClearTraffic Verbindung mehr zulässt.

Und Google betreibt für Fernkonfigurationen ihr eigenes sehr leistungsfähiges Netzwerk ( Firebase Remote-Config)

 

[19087]

@swa00
Ich glaube es geht hier nicht um den Cloudspeicherdienst AWS S3, sondern um eine reguläre Domain.
Aber wie auch immer, so steht es im Bericht von heise, und so habe ich es hier auch wiedergegeben

 

[swa00]

Alles gut - war auch nur mein technischer Senf

Deshlab auch diese Anmerkung - Halt wieder ein "Heise" Artikel

Zumal ab A10 das System ansich keine externe ClearTraffic Verbindung mehr zulässt.

 

[maik005]

Wenn das nur für Verizon war und nur dazu um die Geräte im Shop mit Demo Software auszustatten, wieso ist dass dann in der Firmware für alle enthalten und nicht nur in der eigenen Verizon Firmware?

 

[schinge]

Wie sehr man dieser Aussage glauben schenken möchte, soll bitte jeder für sich entscheiden, aus meiner Sicht jedoch würde dies ja dem Sinn einer Fernwartungssoftware zuwiederlaufen und den Sinn untergraben, denn dann muss man ja nicht fernwarten

Warum? "Fernwartungssoftware" heisst erstmal nur, dass man darüber das Gerät warten/bedienen kann, ohne es in den Händen zu halten und nicht, dass man einfach jederzeit darauf zugreifen kann. Ist doch bei vielen Systemen so, dass der Vor-Ort-Anwender eine Software starten muss und/oder den Zugriff freigeben muss, bevor man über die Fernwartungssoftware auf das Gerät zugreifen kann.

 

[19087]

Deshlab auch diese Anmerkung - Halt wieder ein "Heise" Artikel

Die Info stammt eigentlich von iVerify, die haben das mit der "Endpoint Detection and Response"-Scanner (EDR) herausgefunden:
iVerify Discovers Android Vulnerability Impacting Millions of Pixel Devices Around the World

The application retrieves the configuration file from a single US-based, AWS-hosted domain over unsecured HTTP, which leaves the configuration vulnerable and can makes the device vulnerable

Aber ich bin ehrlich, was AWS angeht, kenne ich mich nicht wirklich aus, da weisst du sicherlich bei weitem mehr als ich

Beiträge automatisch zusammengeführt: 16.08.2024

@schinge
Rein prinzipiell hast du recht, aber wozu eine Fernwartungssoftware, wenn ich eh vor Ort sein muss?
Wenn ich Fernwartungssoftware benutze, dann doch weil ich nicht vor Ort bin, oder?

Aber ist eh müssig, denn ich denke unabhängig davon ist es nicht optimal, wie schon @maik005 sich zu recht fragt:
wenn es nur für Verizon ist, wieso ist es dann auf allen Pixeln installiert? Ist sicherlich auch eine Glaubwürdigkeitsfrage.

 

[martinfd]

wieso ist es dann auf allen Pixeln installiert

Auf meinem P8P finde ich kein "showcase" ...

 

[schinge]

Rein prinzipiell hast du recht, aber wozu eine Fernwartungssoftware, wenn ich eh vor Ort sein muss?
Wenn ich Fernwartungssoftware benutze, dann doch weil ich nicht vor Ort bin, oder?

Hä? Wo hab ich das geschrieben? Es geht darum, dass Du z.B. von Hamburg aus auf das Gerät eines Users in Frankfurt zugreifen willst/musst und er das dann direkt an seinem Gerät in Frankfurt für dich zulässt indem er die Software auf seienm Gerät startet und den Zugriff zulässt. Hast Du vielleicht schonmal die Fernwartungssoftware "TeamViewer" genutzt? Wenn ja, solltest Du das Prinzip verstehen.

 

[swa00]

Da sieht man mal wieder , was so ein herzloser Heise Artikel wieder mit halben Informationen anstellen kann
Immer wieder erstaunlich

@martinfd
Ja, schreibt auch der iVerify Artikel selbst ...... nix von "allen Pixeln " zu lesen

 

[19087]

Hä? Wo hab ich das geschrieben? Es geht darum, dass Du z.B. von Hamburg aus auf das Gerät eines Users in Frankfurt zugreifen willst/musst und er das dann direkt an seinem Gerät in Frankfurt für dich zulässt indem er die Software auf seienm Gerät startet und den Zugriff zulässt. Hast Du vielleicht schonmal die Fernwartungssoftware "TeamViewer" genutzt? Wenn ja, solltest Du das Prinzip verstehen.

Keine Sorge, ich hab ja nicht behauptet, dass du was bestimmtes geschrieben hast, vielmehr beziehe ich mich auf den Artikel, in dem es heisst, dass Verizon angibt die Funktion in deren Läden bei Vorführgeräten zu nutzen. Es geht also nach meinem Verständnis nicht um Endnutzer, wie etwa bei TeamViewer.

Und für die gegebene Aufgabe, den Demomode in den Stores zu starten, sind definitiv keine Systemrechte der "Fernwartungssoftware" notwendig. So steht es im Bericht von iVerify.

 

[schinge]

Und wo ist bei Vorführgeräten das Risiko für Nutzer? Den Vorführgeräte-Modus (auch als Demo- oder Kiosk-Modus bekannt) muss man direkt am Gerät starten.

 

[maik005]

Auf meinem P8P finde ich kein "showcase" ...

Wie und wo hast du gesucht?

 

[martinfd]

@maik005 Einstellungen -> Apps -> alle 179 Apps ansehen -> System-Apps anzeigen -> "showcase" suchen

 

[19087]

@martinfd
Ja, schreibt auch der iVerify Artikel selbst ...... nix von "allen Pixeln " zu lesen

letzter Absatz des iVerify-Berichts:

Further, why Google installs a third-party application on every Pixel device when only a very small number of devices would need the Showcase.apk is unknown.

Ich schau mir mal den originalen Report an. Man müsste das Image des Pixel 8 Pro runterladen können und nachsehen können, ob die APK drin ist.

 

[maik005]

@martinfd
OK, da suchst du ja falsch?
@swa00 oder sehe ich das falsch?
Die App-APK soll doch nur auf dem Gerät sein, aber nicht aktiv/installiert?

 

[19087]

Im originalen Bericht steht folgendes:

“Showcase.apk” identified in the following Pixel OTA images:

• "shiba" (Pixel 8); 14.0.0 (UQ1A.240205.004.A1, Feb 2024, Verizon, Verizon MVNOs)
• "shiba" (Pixel 8); 14.0.0 (UD1A.230803.022.A5, Sep 2023, US Non Verizon/AT&T/T-Mobile carriers/CA/TW)
• "shiba" (Pixel 8); 14.0.0 (UD1A.230803.022.B2, Sep 2023, T-Mobile)
• "shiba" (Pixel 8); 14.0.0 (UD1A.230803.022.C1, Sep 2023, AT&T/JP/EU/IN)
• "shiba" (Pixel 8); 14.0.0 (UD1A.230803.041, Oct 2023)
• "lynx" (Pixel 7a); 14.0.0 (UP1A.231105.003.A1, Nov 2023, JP carriers)
• "lynx" (Pixel 7a); 14.0.0 (UQ1A.240205.002.B1, Feb 2024, Softbank)
• "lynx" (Pixel 7A); 13.0.0 (TD4A.221205.042.B1, May 2023, Verizon)
• "bluejay" (Pixel 6A); 13.0.0 (TQ2A.230505.002.G1, May 2023, Verizon, Verizon MVNOs)
• "oriole" (Pixel 6); 12.1.0 (SQ3A.220705.001.B1, Jul 2022, EMEA/APAC carriers)
• "blueline" (Pixel 3); 9.0.0 (PQ3A.190605.004.A1, Jun 2019, Verizon)
• "walleye" (Pixel 2); 8.0.0 (OPD3.170816.012, Sep 2017, Verizon)

“Showcase.apk” NOT identified in the following Pixel OTA images:

• "sailfish" (Pixel); 7.1.0 (Verizon, NDE63X, Nov 2016)

also im Pixel 8 ist es enthalten. Ob es in neureren Firmwares oder dem Pixel 8 Pro auch enthalten ist, müsste man nachsehen. Aber so einfach wie über den Weg von @martinfd glaube ich ist es nicht

Beiträge automatisch zusammengeführt: 16.08.2024

Auf meinem P8P finde ich kein "showcase" ...

Ich habe soeben das original Image von Google heruntergeladen und nachgesehen:
Vollständige OTA-Images für Nexus- und Pixel-Geräte | Google Play services | Google for Developers

Folgendes Images
14.0.0 (UD1A.230803.022, September 2023, AT&T/EMEA/JP/IN): husky-ota-ud1a.230803.022-102b3fd3.zip (Pixel 8 Pro)
sowie
14.0.0 (AP2A.240605.024, Juni 2024) husky-ota-ap2a.240605.024-1dbb127d (Pixel 8 Pro)

habe ich entpackt und die payload.bin mit dem Tool hier: Releases · ssut/payload-dumper-go
entpackt.

Dann die daraus resultierende Datei product.img weiter entpacken und dort findet sich die Showcase.apk in folgendem Ordner:
/priv-app/Showcase/

In beiden Images des Pixel 8 Pro ist die Datei enthalten, siehe Anhang

 

[galmi]

Und wen genau stört das nun oder wo ist das Problem wenn da eine APK Datei irgendwo liegt die nicht installiert ist?
Verstehe irgendwie das Problem nicht.
Google kann uns theoretisch in jedem Firmwareupdate installieren was es will und hier liegt eine Datei die ungenutzt im Image irgendwo liegt und wo man ohne root nicht dran kommt. Wenn aber einer aus der Ferne Root hat, dann ist das mein geringstes Problem.

 

[19087]

@martinfd
Folgende Apps sollen die App Showcase anzeigen:
"apps_Packages Info", "NetGuard" und "Total Commander", "SolidExplorer"


@galmi
Das Problem ist, dass man für das Aktivieren der App keine Systemrechte benötigt, die App aber selbst dann eben Systemrechte hat.
Das Wesen einer Sicherheitslücke besteht nicht darin, dass der Hersteller sie Ausnutzt, sondern dass sie von Dritten ausgenutzt wird. Insofern sehe in in der Aussage

Google kann uns theoretisch in jedem Firmwareupdate installieren was es will und hier liegt eine Datei die ungenutzt im Image irgendwo liegt und wo man ohne root nicht dran kommt. Wenn aber einer aus der Ferne Root hat, dann ist das mein geringstes Problem.

keinen Beleg darin, dass die genannte App als Sicherheitslücke nicht relevant ist. Wenn man in der Manifest der App nachsieht, erkennt man sogar, dass ein Autostart vorgesehen ist, via

android.intent.action.BOOT_COMPLETED

 

[Klaus986]

Wenn man in der Manifest der App nachsieht, erkennt man sogar, dass ein Autostart vorgesehen ist, via

Aber dazu muss die App installiert sein. Nur das Vorhandensein einer APK ist nicht mit einer Installation gleichzusetzen. Viele Firmwares beinhalten APKs, die per Script nur unter bestimmten Umständen installiert werden.