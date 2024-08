Miljoenen Pixel-telefoons lopen door een standaard geïnstalleerde app het risico op man-in-the-middle (mitm)-aanvallen, waardoor een aanvaller in het ergste geval het toestel kan overnemen. Het gaat om de app Showcase.apk, die sinds september 2017 standaard met Pixel-telefoons wordt meegeleverd. De Showcase-app is door softwarebedrijf Smith Micro ontwikkeld voor Verizon, zodat de telecomprovider toestellen in een demonstratiemodus kan zetten.

Volgens securitybedrijf iVerify beschikt de app over 'buitensporige systeemrechten', waaronder de mogelijkheid om op afstand code uit te voeren en applicaties te installeren. De Showcase-app blijkt via het onbeveiligde http een configuratiebestand te downloaden. Een aanvaller kan dit bestand manipuleren en zo code op systeemniveau uitvoeren om de telefoon over te nemen.

Gebruikers kunnen de app niet zomaar verwijderen. De Showcase-app staat standaard uitgeschakeld, maar een aanvaller met fysieke toegang tot het toestel zou de applicatie kunnen inschakelen. Mogelijk zijn er ook andere methodes om dit te doen, aldus de onderzoekers. Google laat tegenover Wired weten dat het 'de komende weken' de Showcase-app via een update zal verwijderen en dat de applicatie niet aanwezig is op de deze week aangekondigde Pixel 9-telefoons.