根据网络安全公司iVerify的一份新报告,自2017年9月以来销售的大多数谷歌Pixel手机都含有可用于监视或远程控制用户手机的软件。
iVerify的端点检测和响应(EDR)扫描仪在iVerify客户端Palantir Technologies标记出不安全的Android设备后,发现了该漏洞。在发起联合调查后,iVerify、Palantir和Trail of Bits在谷歌Pixel设备中发现了一个隐藏的Android软件包——Showcase.apk。作为回应,向政府和私营公司销售监控产品的数据挖掘公司Palantir在全公司范围内禁用了Android设备。
Palantir的首席信息安全官Dane Stuckey在接受《华盛顿邮报》采访时表示:“在上面安装第三方未经审查的不安全软件,对信任是非常有害的。”“我们不知道它是如何到达那里的,所以我们决定在内部有效地禁止android。”
根据iVerify的报告,该软件是由一家名为Smith Micro software的公司开发的,似乎是为Verizon开发的,用于店内演示。iVerify报告发现,该应用程序默认为非活动状态,必须手动启用。报告写道:“启用后,Showcase.apk使操作系统容易被黑客访问,并为中间人攻击、代码注入和间谍软件做好准备。”“这个漏洞的影响是巨大的,可能导致总计数十亿美元的数据丢失。”
谷歌发言人埃德·费尔南德斯(Ed Fernandez)在给The Verge的一份声明中表示,该软件是“为威瑞森店内演示设备开发的,已经不再使用”,并补充说,谷歌“没有发现任何积极利用的证据”。
据《连线》杂志报道,iVerify在5月初向谷歌透露了自己的报告。该公司没有公开披露这个漏洞,也没有发布软件更新来解决这个问题。《连线》杂志报道称,Android将在“未来几周内”从所有Pixel设备上移除这款应用,费尔南德斯向the Verge证实了这一点。
“这真的很麻烦。像素应该是干净的,”Palantir的斯塔基告诉《华盛顿邮报》。“在Pixel手机上有很多防御软件。”
