数百万台GooglePixel手机存在重大安全漏洞
本周本应是谷歌的庆祝活动,因为谷歌在MadebyGoogle活动上发布了Pixel9和PixelWatch3,但现在一份令人不安的报告可能会破坏这一乐趣。网络安全公司iVerify称,自2017年以来出货的Pixel设备中“很大一部分”都包含可纵以入侵手机的软件。
iVerify指出,其端点检测和响应(EDR)技术今年早些时候在PalantirTechnologies发现了一款不安全的Android设备。iVerify与Palantir和TrailofBits展开了联合调查,他们很快在固件中发现了一个由SmithMicro开发的名为Showcase.apk的Android软件包。
该软件包的代码旨在将手机变成演示设备,这样百思买或Verizon等商店就可以将手机安装在展示台上。问题是,该软件包还包含高级、完全不必要的系统权限,例如远程代码执行和远程软件包安装功能。
iVerify的研究人员在博客上的一份报告中表示:“该应用程序漏洞使数百万台AndroidPixel设备容易受到中间人攻击,使网络犯罪分子能够注入恶意代码和危险的软件。”“网络犯罪分子可以利用应用程序基础设施中的漏洞,在Android设备上以系统权限执行代码或shell命令,从而接管设备,实施网络犯罪和入侵。”
这显然是一个令人难以置信的令人担忧的发现,但好消息是谷歌已经在着手修复其Pixel手机的问题。
谷歌发言人埃德·费尔南德斯(EdFernandez)周四晚间对《华盛顿邮报》表示:“出于谨慎考虑,我们将在即将发布的Pixel软件更新中从所有受支持的Pixel设备中删除该功能。”
迟做总比不做好,iVerify报告称,它“在90天披露流程结束后向Google提供了一份详细的漏洞报告”。PalantirTechnologies甚至非常担心,“将Android设备从其移动设备中移除,并在未来几年内完全过渡到Apple设备。”但至少软件更新即将到来。
标签: