Google Pixel惊传内建第三方元件,其弱点恐让攻击者控制手机

强调使用原生安卓作业系统的Google Pixel手机,竟被研究人员发现预载第三方应用程式的情况,而且,该程式还具备极高的系统权限,并采用不安全的连线机制,可能成为攻击者滥用目标,该厂牌这7年制造的手机大部分都可能曝险。这样的情况,也引起外界高度关注。

一般而言,过往有手机预载不安全、甚至是有恶意行为的应用程式,多半出现在中国品牌的手机上,而在国内,4年前电信业者台湾大哥大引进的白牌中国手机Amazing A32被发现在制造过程植入恶意程式,

对此,iVerify表示,他们已于5月初通报Google此事,但Google目前未公开揭露,也未发布更新处理。基于Google对于此事的处理情况不透明,Palantir已决定淘汰Pixel手机,并进一步考虑扩大到所有安卓设备。

直到iVerify公开此事引起新闻网站

针对APK档案的来历,iVerify表示,此应用程式由软体业者Smith Micro开发,该公司提供行动装置远端存取、家长控制、资料清除的工具。但强调搭载原生安卓作业系统的Pixel手机为何会预载第三方应用程式?Google并未做出说明。

研究人员推测Showcase的主要用途,是用于电信业者Verizon手机行销,将其变成展示机。然而,这个APK档案并非只存在该业者销售的机种,大部分Pixel手机的韧体映像档都内建,再者,此APK档案不光是预载在设备的韧体,就连Google提供OTA更新的映像档,也同样内含该档案。因此研究人员推测,全球可能有数百台Pixel手机曝露于相关风险。

究竟这个应用程式会带来那些资安风险?研究人员提及,Showcase从根本改变作业系统的运作方式,并在获得高权限的状态下运作,而且,该应用程式在搜寻组态档案的过程里,无法对指定网域进行验证,从而难以确保配置档案与参数的新旧。

再者,则是此应用程式使用未加密的HTTP连线来取得远端档案和组态档,研究人员指出,该程式使用的URL结构可以预测,而有可能变成可被利用的弱点。

此外,由于公钥、签章、证书并未捆绑在应用程式的资源当中,攻击者可能会排除这些非强制性的档案,而在档案下载时,得以绕过相关的验证。

值得留意的是,这个应用程式预设并未启用,但研究人员已经找到能够开启的方法,攻击者可在实际接触手机的情况下达到目的,但研究人员认为,可能还有其他方法启动应用程式,因此Pixel仍无法摆脱资安风险。