Source: The Verge
自2017年9月以来,大多数Google Pixel手机都搭载了可以用来监视或远程控制用户手机的软件,根据网络安全公司iVerify的一份新报告。在iVerify的终端检测和响应(EDR)扫描器在iVerify的客户Palantir Technologies的一个不安全的Android设备身上发现了安全漏洞后,该漏洞被发现。在启动了联合调查之后,iVerify、Palantir和Trail of Bits发现了隐藏的Android软件包——Showcase.apk——在Google Pixel设备上已经存在。数据挖掘公司Palantir,该公司向政府和私人公司销售其监视产品,在做出回应后禁止了公司内部的Android设备。Palantir的首席信息安全官Dane Stuckey告诉《华盛顿邮报》:“对于在其中放置第三方、未经审核的不安全软件,这是非常有害的,这样做会损害信任。
。iVerify的报告显示,该软件是由一家名为Smith Micro Software的公司开发的,似乎是为Verizon为店内演示而创建的。报告发现,这个应用默认情况下处于非活跃状态,必须手动启用。当启用时,Showcase.apk使操作系统容易受到黑客的攻击,极易遭受中间人攻击、代码注入和间谍软件的侵入。报告称。
这个漏洞的影响是巨大的,可能导致数十亿美元的数据丢失。Google发言人Ed Fernandez在一份声明中表示,这个软件是“为Verizon的店内演示设备而制作的,现在不再使用。Google并没有立即回应 The Verge对此事的请求。据Wired报道,iVerify在五月初告知了Google该报告。该公司尚未公开披露这个漏洞,也没有发布软件更新来解决问题。
Google发言人Fernandez告诉Wired,Android将在“未来几周内”从所有Pixel设备中移除该应用程序,他还补充说,Google并未看到这个软件被利用的证据。这真的很令人不安。Pixels应该是干净的,”Palantir的Stuckey告诉邮报。Pixels上面构建了许多防御性功能。
安全性问题不容忽视,我们需要对手机软件的来源和机制有更多的了解,以确保我们的隐私和数据安全。" } ```
