谷歌正在修补一个严重的固件级漏洞,该漏洞自 2017 年以来一直存在于全球销售的数百万台 Pixel 智能手机上。“出于充分的预防措施,我们将通过即将推出的 Pixel 软件更新从所有受支持的市售 Pixel 设备中删除此漏洞”,该公司告诉《华盛顿邮报》 。
核心问题是一个名为 Showcase.apk 的应用程序包,它是 Android 固件的一个元素,可以访问多个系统权限。通常,普通智能手机用户无法启用它或直接与其交互,但iVerify 的研究证明,不良行为者可以利用它造成一些严重损害。
该公司表示:“该漏洞使网络犯罪分子可以利用该操作系统进行中间人攻击、恶意软件注入和间谍软件安装。”该安全公司透露,该缺陷为远程代码执行和远程软件包安装打开了大门。
这意味着不良行为者可以在没有物理访问目标设备的情况下在目标设备上安装恶意软件。网络犯罪分子随后可以根据注入的恶意软件发起各种形式的攻击,包括但不限于窃取敏感数据或系统接管。
核心问题是 Showcase.apk 通过不安全的 HTTP 连接下载配置资产,使其容易受到恶意攻击者的攻击。更可怕的是,用户无法像删除手机上存储的其他应用程序一样直接卸载它。
一个非常像素的问题
那么,Google Pixel(而不是地球上所有 Android 手机)如何影响整个序列呢? Showcase.apk 包预装在 Pixel 固件中,也是 Google 公开发布的用于安装软件更新的 OTA 映像的核心组件,尤其是在早期开发过程中。
iVerify 指出,黑客可以通过多种方式启用该软件包,即使该软件包默认情况下未处于活动状态。由于多种原因,谷歌可能会在信息披露后面临一些严重的压力。
首先,iVerify 表示,它在上市前 90 天就这一令人震惊的发现通知了谷歌,但谷歌没有提供何时修复该漏洞的最新消息,这使得全球销售的数百万台 Pixel 设备面临风险。其次,其中一个被标记为不安全的设备正在 Palantir Technologies 中积极使用,这家分析公司最近获得了美国国防部一份价值约 5 亿美元的合同,为美国陆军制造计算机视觉系统。
现在,为了清楚起见,Showcase.apk 本身并不是有问题的。它通过不安全的 HTTP 连接下载配置文件,这被视为公开邀请黑客窥探。为了让您了解威胁, Google 的 Chrome 浏览器会在用户每次访问使用旧 HTTP 协议的网站时发出警告而不是更安全的 HTTPS 架构。
这很严重
无论威胁手段如何,可能让谷歌陷入困境的是国防承包商正在积极使用有风险的 Pixel 智能手机,理论上这可能会使国家安全面临风险。不难想象为什么。
只需看看TikTok 是如何在多个州以类似的国家安全问题为由禁止联邦雇员使用的。 “这确实是一件很麻烦的事。像素本来就是干净的。 Pixel 手机上内置了很多防御功能,”Palantir 首席信息安全官 Dane Stuckey 告诉《华盛顿邮报》。
该应用程序由 Smith Micro 为电信巨头 Verizon 开发,用于将手机设置为零售店的演示模式。此外,由于该应用程序本身不包含任何恶意代码,因此防病毒应用程序或软件几乎不可能将其标记为此类。另一方面,谷歌表示,利用该漏洞需要物理访问和了解手机密码。
然而,iVerify 也对该应用程序的广泛存在提出了质疑。当它是应 Verizon 的要求为演示设备开发时,为什么该软件包是设备上 Pixel 固件的一部分,而不仅仅是那些运往运营商库存的设备?
在安全审计之后,Palantir 实际上从其设备中删除了所有 Android 设备,并完全转向 iPhone,这一转变将在未来几年内完成。值得庆幸的是,没有证据表明 Showcase.apk 漏洞被不良行为者利用。