米国のモバイルセキュリティ企業であるiVerifyは8月15日(米国時間)、「iVerify Discovers Android Vulnerability Impacting Millions of Pixel Devices Around the World」において、2017年9月以降に出荷された世界中のGoogle Pixelデバイスに脆弱性が存在すると報じた。この脆弱性はデバイスにプリインストールされたアプリ「Showcase.apk」に存在し、悪用されるとリモートコード実行(RCE: Remote Code Execution)につながる可能性があるという。

iVerify Discovers Android Vulnerability Impacting Millions of Pixel Devices Around the World

○「Showcase.apk」の脆弱性の概要

iVerifyの報告によると、プリインストールアプリ「Showcase.apk」はソフトウェア開発企業「Smith Micro」によって開発されたVerizonストア向け販促アプリとされる。Showcase.apkはファームウェアに統合されており、世界中のPixelデバイスにおいてシステム権限にて動作する可能性がある。

Showcase.apkはデバイスをデモ機にする機能があり、デバイスの動作を根本的に変更可能とされる。Showcase.apkの動作を制御する構成ファイルは暗号化されていないHTTP(Hypertext Transfer Protocol)経由にて取得する設計になっており、中間者攻撃(MITM: Man-in-the-middle attack)に脆弱と推測される。また、構成ファイルの検証はバイパス可能と分析されている。

つまり、リモートの攻撃者は悪意のある構成ファイルをアプリにダウンロードさせるだけで、Pixelデバイスを侵害可能ということになる。なお、Showcase.apkはファームウェアに統合されているため、ユーザーによるアンインストールはできない。

○リスク評価と今後の対策

iVerifyの研究者の分析によると、多くのPixelデバイスはデフォルトでShowcase.apkを無効にしているという。そのため、脆弱性を悪用するにはロックを解除してアプリを有効化し、構成ファイルを改ざんする必要がある。これはリモートの攻撃者にとって簡単な作業ではないため、実際のリスクは低いと推測されている。

同日、ExtremeTechが「Google Pixel Phones Have Shipped With Exploitable App Since 2017 | Extremetech」で伝えたところによると、Googleは今後数週間以内にShowcase.apkを削除したPixelソフトウェアをリリースする予定とされる。また、新しいGoogle Pixel 9にアプリは含まれておらず、影響を受けないとしている。