對於資訊安全漏洞的防範,每個系統都有相應的機制存在。然而如果今天有著過高權限的應用本身是出自可信的品牌公司,而且還原廠就內建於裝置內的這種事情,似乎就相當有機會成為有心人士可以利用的危險目標。繼續閱讀 Google Pixel 裝置爆內建展示應用嚴重漏洞,外媒質疑為何市售機需要內建此 App 報導內文。
▲圖片來源:Google
Google Pixel 裝置爆內建展示應用嚴重漏洞,外媒質疑為何市售機需要內建此 App
這樣的事情,最近就被 iVerify 資安專家揭露。發現 Google Pixel 設備裝置自 2017 年以來,全都有內建一個名為 Showcase.apk 的檔案在系統之中。這個 APK 後續也被分析出來,是名為「Verizon Retail Demo Mode」的特殊展示模式。
台灣在範圍內嗎?
現在問題來了,既然是 Verizon 的展示應用,那麼除了美國地區以外的 Pixel 裝置是否就不會遇到類似的問題了呢?
嗯… 目前是沒有證據指出這樣內建的 APK 是否與台灣這邊的使用者相關。但根據 iVerify 的分析是提到「全球」有很大占比的 Pixel 裝置都有(文章裡面提到的數字是「數百萬裝置可能受害」)。
所以個人是覺得台灣這邊的裝置應該是無法排除在外。至於為什麼一般的設備需要內建這樣的安裝檔案,這也是許多人都在問的問題 – 但還沒有解答,就當他是個浪漫的錯誤吧。
Showcase.apk 有多危險?
就目前資安公司的分析是發現這樣的 Demo 應用擁有超乎預期的權限 – 包括遠端執行程式碼與遠端安裝應用 – 就… 以商業使用的門市展示機管理來說算正常,但直接裝在 Pixel firmware 的系統以及包括在 Google 的 OTA 裡就顯得有點匪夷所思。
除此之外,資安分析也指出 Showcase.apk 安裝執行之後的連線安全等機制都有被入侵的疑慮存在。然後就算使用者發現手機上有這樣的應用,現階段也無法簡單的透過一般步驟移除這個內建的 APK。
是說,雖然讓人感覺非常的憂心。不過這部份不幸中的大幸是,要把這個 APK 給實裝,還是需要拿到本機才能夠執行 – 也就是並非已經預裝的狀態。
即便如此專家以及媒體依然十分擔憂,是否會出現知悉此漏洞的有心人士利用別的漏洞來執行安裝的程序,進而導致 Pixel 裝置面臨超乎想像的資安風險。
如何解決?
可能是因為沒有立即的危險性,所以即便媒體揭露 Google 早在五月時就已經收到相關的回報,不過還是沒有立即做出相關的修正動作。不過後續媒體則是有向 Google 獲得包括「此應用已經沒有在使用」以及未來數週將會透過更新移除的回覆。
結語
雖然「感覺」是等到媒體揭露之後才比較有積極的動作。不過總的來說至少官方是有承諾要解決這樣的問題了。至於在正式的更新以及大家都更新完成前,是否會有相關的被破解風險,就不得而之了。
只能說,該注意的事項如小心避免手機等裝置被不可信的人員操作,或者是不要點擊奇怪的連結與被引導安裝可疑的檔案等,應該都是許多資訊安全注意事項中時常被提到的重點。
而在 Google 拿出解決此漏洞的修正之前,只能請大家更加留意自己的手機等裝置了。
引用來源:iVerify|經由:Android Police|
