Google verwijdert voorgeïnstalleerde app voor demomodus van Pixel-telefoons

Google heeft Showcase.apk, een standaard verborgen app voor de demonstratiemodus van de Amerikaanse provider Verizon, van Pixel-telefoons verwijderd met een update. Die app bleek een paar weken geleden een lek te bevatten.

De app stond al niet op Pixel 9-telefoons en met de update verdwijnt hij ook van voorgaande Pixel-telefoons, zo blijkt uit de releasenotes van de nieuwe update. Google noemt de app niet bij naam, maar zei enkele weken geleden al de app te gaan verwijderen.

De app in kwestie heet Showcase.apk en Smith Micro Software heeft de app gemaakt voor telecomprovider Verizon. De app moet bedoeld zijn om telefoons in een demomodus voor winkels te zetten. Showcase is onderdeel van de firmware-image en zou dus op 'een zeer groot percentage' van de wereldwijd geleverde Pixel-apparaten staan.

De package is standaard verborgen en inactief. De app moet dan ook handmatig geactiveerd worden voordat deze uitgebuit kan worden. Volgens iVerify zijn er 'mogelijk' meerdere manieren om de app in te schakelen. Het securitybedrijf heeft zelf één daadwerkelijke methode gevonden om dat te doen. Daarvoor is fysieke toegang tot de smartphone vereist. De app draait op systeemniveau en heeft daarmee, wanneer deze daadwerkelijk geactiveerd is, 'diepgaande systeemprivileges'. Daaronder vallen bijvoorbeeld mogelijkheden om op afstand code uit te voeren op het apparaat in kwestie. Er zijn geen aanwijzingen dat aanvallers het lek hebben misbruikt.