根據網絡安全公司 iVerify 的一份新報告,自 2017 年 9 月以來出售的大多數 Google Pixel 手機中設置了一種可以用於監控或遠程控制用戶手機的軟體。這一漏洞是在 iVerify 為客戶 Palantir Technologies 進行終端檢測與響應(EDR)掃描時發現的。隨後,iVerify、Palantir 和 Trail of Bits聯合調查發現,Google Pixel 設備中存在一個隱藏的 Android 軟體包 Showcase.apk。作為訊息挖掘公司,Palantir 將監控產品出售給政府和私人公司,發現該問題後,Palantir 決定在公司內部禁用 Android 設備。
敏感軟體來源不明,內部禁用 Android 設備
Palantir 的首席資訊安全官 Dane Stuckey 表示,「這嚴重破壞了信任,因為手機中存在未經審查的第三方不安全軟體。」他補充道,「我們完全不知道這個軟體是如何進入設備的,因此我們決定在內部禁用 Android 設備。」根據 iVerify 的報告,該軟體由 Smith Micro Software 公司開發,似乎是為 Verizon 的店內演示設備而設計。報告指出,該應用程式默認處於不活躍狀態,需手動啟用。一旦啟用,Showcase.apk 會讓操作系統暴露在駭客攻擊的風險中,易受中間人攻擊、代碼注入和間諜軟體的影響。該漏洞可能導致數十億美元的數據泄露損失。
Google 承諾移除,未見活躍利用跡象
Google 發言人 Ed Fernandez 對此回應表示,該軟體是為 Verizon 的店內演示設備製作的,目前已不再使用。他補充說,Google 沒有發現任何活躍利用該漏洞的跡象。據 Wired 報導,iVerify 於 5 月初將此報告告知 Google,但該公司尚未公開披露漏洞,也未發布軟體更新來解決問題。Wired 還報導,Android 將在「未來幾周內」從所有 Pixel 設備中移除該應用,這一消息得到了 Fernandez 的證實。
Palantir 的資訊安全官表示,「這真的非常令人不安。Pixel 手機應該是安全無虞的,但它們內置了防禦功能。」
*本文開放合作夥伴轉載,資料來源:《The Verge》首圖來源:《Unsplash》
