本周本應(yīng)是谷歌的慶祝活動(dòng)，因?yàn)楣雀柙贛adebyGoogle活動(dòng)上發(fā)布了Pixel9和PixelWatch3，但現(xiàn)在一份令人不安的報(bào)告可能會(huì)破壞這一樂(lè)趣。網(wǎng)絡(luò)安全公司iVerify稱，自2017年以來(lái)出貨的Pixel設(shè)備中“很大一部分”都包含可縱以入侵手機(jī)的軟件。

iVerify指出，其端點(diǎn)檢測(cè)和響應(yīng)(EDR)技術(shù)今年早些時(shí)候在PalantirTechnologies發(fā)現(xiàn)了一款??不安全的Android設(shè)備。iVerify與Palantir和TrailofBits展開(kāi)了聯(lián)合調(diào)查，他們很快在固件中發(fā)現(xiàn)了一個(gè)由SmithMicro開(kāi)發(fā)的名為Showcase.apk的Android軟件包。

該軟件包的代碼旨在將手機(jī)變成演示設(shè)備，這樣百思買或Verizon等商店就可以將手機(jī)安裝在展示臺(tái)上。問(wèn)題是，該軟件包還包含高級(jí)、完全不必要的系統(tǒng)權(quán)限，例如遠(yuǎn)程代碼執(zhí)行和遠(yuǎn)程軟件包安裝功能。

iVerify的研究人員在博客上的一份報(bào)告中表示：“該應(yīng)用程序漏洞使數(shù)百萬(wàn)臺(tái)AndroidPixel設(shè)備容易受到中間人攻擊，使網(wǎng)絡(luò)犯罪分子能夠注入惡意代碼和危險(xiǎn)的軟件。”“網(wǎng)絡(luò)犯罪分子可以利用應(yīng)用程序基礎(chǔ)設(shè)施中的漏洞，在Android設(shè)備上以系統(tǒng)權(quán)限執(zhí)行代碼或shell命令，從而接管設(shè)備，實(shí)施網(wǎng)絡(luò)犯罪和入侵。”

這顯然是一個(gè)令人難以置信的令人擔(dān)憂的發(fā)現(xiàn)，但好消息是谷歌已經(jīng)在著手修復(fù)其Pixel手機(jī)的問(wèn)題。

谷歌發(fā)言人埃德·費(fèi)爾南德斯(EdFernandez)周四晚間對(duì)《華盛頓郵報(bào)》表示：“出于謹(jǐn)慎考慮，我們將在即將發(fā)布的Pixel軟件更新中從所有受支持的Pixel設(shè)備中刪除該功能。”

遲做總比不做好，iVerify報(bào)告稱，它“在90天披露流程結(jié)束后向Google提供了一份詳細(xì)的漏洞報(bào)告”。PalantirTechnologies甚至非常擔(dān)心，“將Android設(shè)備從其移動(dòng)設(shè)備中移除，并在未來(lái)幾年內(nèi)完全過(guò)渡到Apple設(shè)備。”但至少軟件更新即將到來(lái)。

標(biāo)簽：