強調使用原生安卓作業系統的Google Pixel手機,竟被研究人員發現預載第三方應用程式的情況,而且,該程式還具備極高的系統權限,並採用不安全的連線機制,可能成為攻擊者濫用目標,該廠牌這7年製造的手機大部分都可能曝險。這樣的情況,也引起外界高度關注。

一般而言,過往有手機預載不安全、甚至是有惡意行為的應用程式,多半出現在中國品牌的手機上,而在國內,4年前電信業者台灣大哥大引進的白牌中國手機Amazing A32被發現在製造過程植入惡意程式,導致許多用戶的門號被歹徒當作人頭帳號濫用。但如今類似的軟體供應鏈威脅,竟是發生在Google的「親兒子」Pixel手機,引發外界高度關注。

行動裝置資安業者iVerify指出,他們的EDR系統今年初將大數據分析公司Palantir的部分安卓裝置註記為不安全,於是兩家公司與資安顧問業者Trail of Bits聯手調查,結果發現,問題存在於手機韌體預載的應用程式安裝檔Showcase.apk,此檔案存在於從2017年9月之後出廠的Pixel手機(即Pixel 2之後的機種),具備相當多系統權限,一旦啟動,攻擊者有機會用來遠端執行程式碼,或是進行軟體安裝。iVerify指出,國家級駭客很有可能利用這項弱點,充當該廠牌手機的後門。

對此,iVerify表示,他們已於5月初通報Google此事,但Google目前未公開揭露,也未發布更新處理。基於Google對於此事的處理情況不透明,Palantir已決定淘汰Pixel手機,並進一步考慮擴大到所有安卓設備。

直到iVerify公開此事引起新聞網站Wired華盛頓郵報報導,Google發言人Ed Fernandez才提出說明,表明Verizon不再使用Showcase,他們將在數個星期裡透過軟體更新將其移除,並強調最近發表的Pixel 9不含該應用程式,目前尚未出現被利用的跡象。

針對APK檔案的來歷,iVerify表示,此應用程式由軟體業者Smith Micro開發,該公司提供行動裝置遠端存取、家長控制、資料清除的工具。但強調搭載原生安卓作業系統的Pixel手機為何會預載第三方應用程式?Google並未做出說明。

研究人員推測Showcase的主要用途,是用於電信業者Verizon手機行銷,將其變成展示機。然而,這個APK檔案並非只存在該業者銷售的機種,大部分Pixel手機的韌體映像檔都內建,再者,此APK檔案不光是預載在設備的韌體,就連Google提供OTA更新的映像檔,也同樣內含該檔案。因此研究人員推測,全球可能有數百臺Pixel手機曝露於相關風險。

資安業者iVerify在完整的調查報告裡,列出已確認存在Showcase.apk的OTA韌體映像檔,其中包含針對AT&T、T-Mobile、軟銀等電信業者,以及適用於歐洲,中東及非洲(EMEA)、亞太地區、日本電信業者的韌體。由此看來,顯然這個危險的APK檔案並非只影響Verizon的Pixel用戶。

究竟這個應用程式會帶來那些資安風險?研究人員提及,Showcase從根本改變作業系統的運作方式,並在獲得高權限的狀態下運作,而且,該應用程式在搜尋組態檔案的過程裡,無法對指定網域進行驗證,從而難以確保配置檔案與參數的新舊。

再者,則是此應用程式使用未加密的HTTP連線來取得遠端檔案和組態檔,研究人員指出,該程式使用的URL結構可以預測,而有可能變成可被利用的弱點。

此外,由於公鑰、簽章、證書並未捆綁在應用程式的資源當中,攻擊者可能會排除這些非強制性的檔案,而在檔案下載時,得以繞過相關的驗證。

值得留意的是,這個應用程式預設並未啟用,但研究人員已經找到能夠開啟的方法,攻擊者可在實際接觸手機的情況下達到目的,但研究人員認為,可能還有其他方法啟動應用程式,因此Pixel仍無法擺脫資安風險。

熱門新聞

Advertisement