文/鄭宜芬
近日Google發表具備 AI 功能的新旗艦 Pixel 9 智慧型手機,然而舊款 Pixel 手機卻傳出存在長達 7 年的安全漏洞。Google 發言人表示,會在未來幾週刪除此一軟體,並強調並未遭到駭客利用。此外,最新推出的 Pixel 9 系列已移除這一軟體,不受此問題影響。
根據《The Verge》報導指出,美國資安公司 iVerify 在 5 月初向 Google 通報,自 2017 年生產的 Google Pixel 手機中,一直存在安全漏洞,是一款源自於 Google Pixel 當中預設的一個軟體包「Showcase.apk」,由於是透過不安全的 HTTP 協定安裝,駭客很可能利用漏洞入侵,用來監視和遙控使用者的 Google Pixel 手機。
Showcase.apk 由美國軟體公司Smith Micro開發,原本是提供給美國電信 Verizon 門市展示的Pixel手機,原本預設為不啟動狀態。IVerify 透過終端偵測與回應(Endpoint Detection and Response, EDR)機制查出從 2017 年以來生產的 Google Pixel 手機全部都安裝這個套件,因此從 Pixel 2 之後的產品都有潛在資安風險。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
目前尚不清楚為何所有 Pixel 手機上皆附帶 Showcase.apk。Palantir 資安長史塔基(Dane Stucky)表示,駭客可以輕易地利用此軟體套件植入惡意軟體,或進行中間人攻擊(MITM )行動,以 Pixel 手機銷售多年累積下來的使用者,若遭到攻擊將造成至少數十億美元的重大損失。這對於使用 Pixel 手機進行防禦工作的 Palantir 來說,是一個重大的安全隱患,因此在第一時間下令所有員工禁止使用任何 Pixel 裝置。
對此,Google 發言人費南德茲(Ed Fernandez)表示,利用這個應用程式需同時擁有裝置的實體存取權和使用者密碼,且目前沒有發現任何被主動利用的證據。在未來的數周內,會透過 OTA 更新系統的方式,將該軟體從全部的 Google Pixel設備中移除。另外,最新的 Pixel 9 不受此問題影響。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
