2017年起存在至今　Google Pixel驚傳安全漏洞「駭客可遠程操控」

網絡安全公司iVerify近期發布一份報告，當中指稱Google Pixel手機中存在一個安全漏洞，該漏洞是源自於一個預設的套件，惡意份子可以透過這個漏洞直接遠端操控用戶的手機。而且，這個漏洞從2017年就存在至今，Google Pixel 2以後的手機都有這個漏洞。而Google是近期才宣布會在未來數周內進行修補。

根據《The Verge》報導指出，網路安全公司 iVerify 有一個以蒐集、分析資訊與AI系統文明的資訊廠商客戶Palantir，這次的漏洞先是在iVerify的終端偵測與回應（Endpoint Detection and Response, EDR）機制下查出，後續iVerify與Palantir展開聯合調查，發現問題點是源自於Google Pixel當中預設的一個軟體包「Showcase.apk」。

報導中提到，「Showcase.apk」是由Smith Micro Software公司開發，原本是為了美國電信商Verizon用來操控店頭展示機而設計的軟體，原本預設是為不啟動狀態，但不法份子依舊還是可以遠端喚起這套軟體，並且利用軟體本身的漏洞進行遠端監視與遠端操控，恐會導致數十億美元的資料洩露損失。

也因為如此，目前Palantir已在第一時間下令，禁止所有員工使用任何的Pixel裝置。Palantir首席資訊安全官斯塔基（Dane Stuckey）受訪時表示，Pixel手機應該是安全而「乾淨」的設備，然而現在卻發現有如此嚴重的潛在危險漏洞，這對依賴Pixel手機進行防禦工作的Palantir來說，是一個重大的安全隱患。斯塔基也表示，公司對於發現使用的設備中有第三方未經審核的不安全軟體，感到極度的失望，因此就在第一時間下令禁用。

除此之外，報導中也提到，其實早在5月之時，iVerify就將這項漏洞告知Google，但Google方面一直沒有進行處理。一直到報導曝光後，Google發言人費爾南德斯（ Ed Fernandez）財表示，在未來的數周內，會透過OTA更新系統的方式，將該軟體從全部的Google Pixel設備中移除。

至於近期發布的Google Pixel 9系列手機是否有該漏洞，報導中並未提及。

原文出處：CTWANT｜作者：廖梓翔