数百万台Google Pixel设备上预装的应用存在一个长达7年的严重安全漏洞,现已被曝光。该漏洞可能导致远程代码执行和数据泄露。尽管Google已承认存在此问题,但延迟解决这一严重威胁引发了人们对用户安全的担忧。
Iverify的研究人员发现了一个自2017年以来一直潜伏在Pixel设备中的严重漏洞,可能使数百万Google Pixel用户面临风险。该漏洞存在于具有不必要系统权限的预装应用中,允许攻击者注入恶意代码并可能接管设备。
有问题的应用程序是Showcase.apk,由Smith Micro为Verizon设计,Smith Micro是一家提供远程访问、家长控制和数据清除工具的美国软件公司。此应用程序应该用于将Pixel变成演示设备。但是,它包含一个后门,让攻击者可以入侵设备。
iVerify的EDR功能将Palantir Technologies的一台Android设备标识为不安全设备,从而引发了对Palantir和Trail of Bits的调查,调查显示Showcase.apk Android应用程序包使操作系统容易受到黑客攻击,从而导致中间人攻击、代码注入和间谍软件。
尽管Showcase并非Google的原创,但它却拥有根深蒂固的系统特权,包括令人震惊的远程执行代码和未经用户同意安装软件的能力。
此漏洞可能导致数十亿美元的数据泄露。更糟糕的是,该应用程序通过不受保护的HTTP连接下载配置文件,这是一个明显的安全疏忽,可能允许攻击者劫持该应用程序并完全控制设备。
实际情况是,应用程序包通过不安全的HTTP检索配置文件,使其能够执行可能打开后门的系统命令或模块,从而使网络犯罪分子能够入侵设备。由于它本身并不具有恶意,安全技术可能会忽略它,并且该应用程序安装在系统级别并作为固件映像的一部分,因此可以在用户级别卸载它。
供您参考,Showcase.apk是系统级代码,可将手机转变为演示设备,从而更改操作系统。它在特权上下文中运行,导致不验证域、使用不安全的默认变量初始化、更改配置文件、处理非强制性文件以及通过HTTP与预定义URL进行不安全通信等问题。
虽然这款应用预装在Pixel手机上的确切目的尚不清楚,但它给用户带来了重大的安全风险。该应用无法通过标准方法卸载。尽管谷歌已经承认了这个问题并承诺修复,但解决这一严重漏洞的延迟引发了人们的担忧。
谷歌发言人表示:“这不是Android平台或Pixel漏洞,这是Smith Micro为Verizon店内演示设备开发的apk,现已不再使用。在用户手机上利用此应用程序需要物理访问设备并获取用户密码。我们没有看到任何主动利用的证据。”
谷歌提到,它将向其他Android OEM通报有关该APK的信息,并指出,Verizon旗下的Showcase应用程序是Verizon销售的所有Android设备的必备应用程序。
iVerify的研究人员在他们的博客文章中写道:“目前尚不清楚为什么谷歌会在每台Pixel设备上安装第三方应用程序,而只有极少数设备需要Showcase.apk。”
值得注意的是,Showcase默认处于禁用状态,需要物理访问设备并知道系统密码才能激活。但是,不能排除远程利用的可能性,尤其是考虑到现代网络攻击的复杂性。
Synopsys软件完整性小组高级安全顾问Sergio A. Figueroa对此评论道:“当你购买一部新智能手机时,你会信任它。你希望硬件和操作系统能够按预期运行,并且不会出现任何明显的漏洞,但如果存在漏洞,你希望至少在几年内及时收到缓解漏洞的更新。”
“但这种信任必须延伸到什么程度?”塞尔吉奥辩称。“不同的参与者可能想对系统进行改动。原始设备制造商(如三星、诺基亚或HTC)将改变用户界面并创建一些自己的应用程序。移动运营商或向您销售手机的零售商可能会添加一些应用程序。其中一些参与者可能会与第三方达成协议,以提供特定的应用程序或服务,”他说。
“由于这些定制功能内置于智能手机中,大多数用户很难摆脱不喜欢的功能。换句话说,用户被要求扩大信任范围:他们不仅要信任操作系统,还要信任一堆他们可能需要或不需要的应用程序,这些应用程序可能遵循也可能不遵循特定的质量和安全标准,”Sergio解释道。“即使操作系统保证在几年内收到安全更新,但移动运营商安装的天气应用程序却不能保证这一点。”
“这些预装的实用程序成为一种负担:它们安装在许多设备上,很难删除或禁用,并且它们不受与实际操作系统相同的安全标准的约束。听说它们存在漏洞,并且该漏洞影响大量用户,这应该不足为奇。如果要与不受该承诺约束的软件捆绑在一起,那么在操作系统级别承诺七年的安全更新就毫无意义了,”他总结道。
评论已关闭。