스마트폰용 보안 제품을 제공하는 아이버리파이(iVerify)가 2017년 9월 이후 출시된 구글 픽셀 기기에는 매우 높은 확률로 원격 코드 실행이나 원격 패키지 설치 기능을 포함한 과도한 시스템 권한을 가진 안드로이드 패키지 Showcase.apk가 포함되어 있다고 지적했다.
2024년 초 아이버리파이 보안 도구인 EDR이 팔란티어테크놀러지(Palantir Technologies)가 사용하는 안드로이드 기기가 안전하지 않다고 판단했다. 이에 아이버리파이는 팔란티어 및 보안 회사 트레일오브비츠(Trail of Bits)와 공동으로 조사를 시작했다. 조사 결과 펌웨어 일부인 안드로이드 애플리케이션 패키지 Showcase.apk 존재가 밝혀졌다.
Showcase.apk를 활성화하면 해커가 운영 체제에 접근할 수 있게 되어 중간자 공격이나 코드 인젝션, 스파이웨어 공격에 취약해진다고 한다. 아이버리파이는 이 취약점의 영향이 크며 수십억 달러에 달하는 데이터 손실로 이어질 수 있다고 지적하고 있다.
Showcase.apk는 남북아메리카와 EMEA에서 사업을 전개하며 원격 접속, 자녀 보호, 데이터 삭제 도구 등 소프트웨어 패키지를 제공하는 소프트웨어 개발 기업인 스미스마이크로(Smith Micro)가 개발한 것이다. 아이버리파이는 스미스마이크로가 버라이즌 매장에서 픽셀 기기 및 안드로이드 스마트폰 판매를 촉진하기 위해 이 애플리케이션 패키지를 설계했을 가능성이 있다고 지적하고 있다.
Showcase.apk는 펌웨어 이미지 일부이기 때문에 전 세계 수백만 대에 이르는 픽셀 기기에서 시스템 레벨로 실행되고 있다고 한다. 애플리케이션 패키지는 보안되지 않은 HTTP를 통해 구성 파일을 가져오도록 설계되어 있다. 이로 인해 앱은 백도어를 열 가능성이 있는 시스템 명령으로 모듈을 실행할 수 있어 사이버 범죄자가 기기에 침입하기 쉬워진다.
이 앱은 본질적으로 악의적인 게 아니기 때문에 대부분 보안 기술에서는 간과되며 악의적인 것으로 플래그가 설정되지 않는다. 또 Showcase.apk는 시스템 레벨에서 설치된 펌웨어 이미지 일부이기 때문에 사용자가 직접 제거할 수 없다.
Showcase.apk 코드는 시스템 레벨에서 실행되며 기기를 데모 기기로 변경하도록 설계되어 있어 운영 체제 동작을 근본적으로 변경해 버린다. 아이버리파이는 애플리케이션이 고급 권한을 가진 컨텍스트에서 실행되는데 이는 애플리케이션 본래 목적에는 불필요하다는 점도 주목할 만하다고 지적하고 있다.
Showcase.apk에서 기타 주목할 만한 특징을 살펴보면 먼저 애플리케이션의 구성 파일을 가져오는 동안 정적으로 정의된 도메인 인증 또는 검증에 실패한다. 애플리케이션은 인증서와 서명 검증 중에 안전하지 않은 기본 변수 초기화를 실행하며 실패 후 유효한 검증 체크가 이뤄진다. 애플리케이션 구성 파일은 가져오거나 대상 전화기로 전송되기 전에 변경될 가능성이 있다. 애플리케이션은 공개 키, 서명, 인증서가 리소스에 번들되지 않은 상태를 처리할 수 없다. 애플리케이션은 원격 파일과 애플리케이션 구성 파일을 가져오기 위해 HTTP를 통해 사전 정의된 URL과 안전하지 않은 방법으로 통신한다.
아이버리파이는 서드파티 앱을 운영 체제 일부로 실행하는 것에 관해 더 많은 투명성과 논의가 필요하다고 지적한다. 또 수백만 대 기기에 설치된 서드파티 앱 안전성을 확보하기 위해 품질 보증과 침투 테스트의 필요성도 보여주고 있다고 말한다. 더불어 Showcase.apk를 필요로 하는 기기는 극소수임에도 불구하고 구글이 모든 픽셀 기기에 이를 설치하고 있는 이유도 불분명하다고 지적하고 있다.
한편 아이버리파이는 90일간의 공개 프로세스를 거쳐 구글에 상세한 취약점 보고서를 통지했다. 구글이 잠재적 위험을 수정하기 위한 패치를 배포할지, 해당 소프트웨어를 스마트폰에서 삭제할지는 불분명하다. 관련 내용은 이곳에서 확인할 수 있다.