谷歌 Pixel 等 Android 智能手机惊现重大安全漏洞,可能让黑客远程访问用户资料。 《华盛顿邮报》报道,此发现引起网络安全专家高度关注,更导致一家主要情报承包商暂停使用受影响装置。
预载的Showcase.apk成安全隐患
安全公司iVerify发现,问题出在名为Showcase.apk的预载应用程序。 这个应用默认为休眠状态,但一旦启动,可能允许未经授权的远程访问。 iVerify 指出,该应用程序存在于某些 Android 手机型号中,主要包括 谷歌 Pixel 设备。
研究人员发现,Showcase.apk原本设计用于零售环境,让员工向顾客展示装置功能。 然而,当启动时,应用程序会通过不安全的「http」连线与服务器通讯,使其容易被网络罪犯拦截。 这个漏洞可能让攻击者远程执行代码,潜在植入恶意程序或间谍软件,进而访问设备上的敏感资料。
Palantir 停用 Android 手机
数据分析平台供应商 Palantir Technologies 对此漏洞表示严重关切。 该公司经常与政府机构和其他对安全敏感的客户合作,因此已停止员工使用 Android 手机。
谷歌 承诺修复漏洞
Pixel 设备出现这个漏洞尤其引人注目,因为这些设备以直接从 谷歌 获得及时安全更新而闻名。 谷歌 现已宣布将发布更新,从所有支持的 Pixel 设备中移除 Showcase.apk 应用程序。 其他Android手机制造商也将收到官方通知,以处理这个问题。
