数以百万计的 Pixel 设备可能会因预装的易受攻击的应用程序而被黑客入侵

自2017年9月以来，许多Google Pixel设备都包含了一个潜在的软件，可以被攻击者利用以攻击设备。iVerify是一家移动安全公司，Researchers 发现了这款软件名为“Showcase.apk”，它具有过高的系统权限，可以远程执行代码和安装远程软件包。

iVerify的报告中写道：“我们发现了一个Android包‘Showcase.apk’，它具有过高的系统权限，包括远程代码执行和远程软件包安装能力，存在于全球范围内的Pixel设备中。”“该应用程序下载一个未加密的配置文件，并可以被操纵以在系统级别执行代码”

问题允许应用程序从未加密的HTTP连接中检索配置文件，这使得数百万台Android Pixel设备面临着中间人攻击（MITM）。攻击者可以利用这个漏洞注入恶意代码，执行系统权限命令，并控制设备，可能导致严重的网络犯罪和数据泄露。

“Showcase.apk”包是Smith Micro开发的，是Pixel firmware图像的一部分，可能会提高Verizon商店的销售额。然而，这款应用程序无法通过标准卸载过程卸载，Google尚未解决这个漏洞。

应用程序“Showcase.apk”可以通过物理访问设备和默认不启用来激活。experts指出，这款应用程序存在多个权限，需要 dozens个权限来执行。

虽然这款应用程序已经存在于2016年8月开始，但是没有证据表明这个漏洞已经在野外被利用。iVerify的报告继续写道：“该应用程序在检索配置文件时没有进行身份验证或验证，配置文件可以在检索或传输过程中被修改”

应用程序也没有处理缺失的公共密钥、签名和证书，攻击者可以绕过验证过程。Google 表示，这不是 Android 或 Pixel 系统的漏洞，宣布将在即将推出的 Pixel 软件更新中删除该应用程序。

Google 也将通知其他 Android OEM。iVerify 指出，这是一个非常serious的 concern，Palantir Technologies 选择在未来几年内将 Android 设备从其移动设备fleet中 ban，转移到 Apple 设备。

原文始发于微信公众号（黑猫安全）：数以百万计的 Pixel 设备可能会因预装的易受攻击的应用程序而被黑客入侵