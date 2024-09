Tijdens de patchronde van september heeft Google een vooraf geïnstalleerde app van Pixel-telefoons verwijderd. Het tecbedrijf laat niet weten om welke app het precies gaat, maar eerder maakte het bekend de vooraf geïnstalleerde Showcase-app te verwijderen. De Showcase-app is door een externe partij voor telecomprovider Verizon ontwikkeld en wordt sinds 2017 standaard op Pixel-telefoons geïnstalleerd. Via de app is het mogelijk om Pixel-telefoons in een demonstratiemodus te zetten.

De app staat standaard uitgeschakeld. Onlangs maakte een securitybedrijf bekend dat een aanvaller met fysieke toegang tot een Pixel-telefoon de app kan inschakelen, om vervolgens misbruik van een kwetsbaarheid in de applicatie te maken voor het installeren van malware. Critici stelden dat het om een non-issue ging, aangezien een aanvaller al toegang tot het toestel heeft en dan allerlei andere aanvallen kan uitvoeren. Vanwege de berichtgeving kondigde Google aan de app te zullen verwijderen.

In het Pixel-beveiligingsbulletin van september is een kwetsbaarheid opgenomen aangeduid als CVE-2024-29779, met de omschrijving "Pre-install App". Verdere informatie ontbreekt. Het is voor het eerst dat Google een dergelijke omschrijving gebruikt. De impact van het beveiligingslek is als "high" beoordeeld. Daarnaast zijn er vier kritieke kwetsbaarheden verholpen waardoor een aanvaller die toegang tot de telefoon heeft zijn rechten kan verhogen.

Beveiligingslekken waardoor aanvallers, gebruikers of malafide apps met toegang tot een systeem hun rechten kunnen verhogen, ook wel aangeduid als escalation of privilege (EoP), worden meestal niet als kritiek bestempeld. Dat is wel het geval bij CVE-2024-44092, CVE-2024-44093, CVE-2024-44094 en CVE-2024-44095. Verdere details ontbreken echter. De update wordt automatisch aan ondersteunde Pixel-telefoons aangeboden en Google adviseert gebruikers om die te accepteren.