Theo một nghiên cứu mới, hầu hết các điện thoại Google Pixel được bán kể từ tháng 9 năm 2017 đều có phần mềm có thể được sử dụng để giám sát hoặc điều khiển điện thoại của người dùng từ xa. một báo cáo Từ công ty an ninh mạng iVerify.

Lỗ hổng này được phát hiện sau khi máy quét Điểm cuối và Phản hồi (EDR) của iVerify gắn cờ một thiết bị Android không an toàn tại Palantir Technologies, một khách hàng của iVerify. Sau khi khởi động một cuộc điều tra chung, iVerify, Palantir và Trail of Bits đã phát hiện ra gói phần mềm Android ẩn – Showcase.apk – trên các thiết bị Google Pixel. Công ty khai thác dữ liệu Palantir, chuyên bán các sản phẩm giám sát của mình cho chính phủ và các công ty tư nhân, đã chặn các thiết bị Android trên toàn công ty.

Dan Stuckey, giám đốc an ninh thông tin của Palantir, cho biết: “Điều này rất có hại cho niềm tin, đối với phần mềm không an toàn của bên thứ ba chưa được kiểm tra”. Anh ấy nói Bưu điện Washington“Chúng tôi không biết vấn đề này xảy ra như thế nào nên chúng tôi đã đưa ra quyết định cấm nội bộ một cách hiệu quả các thiết bị Android.”

Theo báo cáo của iVerify, phần mềm này được phát triển bởi một công ty có tên Smith Micro Software và dường như được tạo ra cho Verizon để dùng thử tại cửa hàng. Báo cáo của iVerify cho thấy ứng dụng này có màu xám theo mặc định và phải được bật theo cách thủ công. “Khi được bật, Showcase.apk sẽ cung cấp hệ điều hành cho tin tặc và sẵn sàng cho các cuộc tấn công trung gian, tiêm mã và phần mềm gián điệp. Tác động của lỗ hổng này là rất đáng kể và có thể dẫn đến các vụ vi phạm mất dữ liệu với tổng trị giá hàng tỷ đô la.” “, báo cáo cho biết.

Trong một tuyên bố tới Bờ rìaNgười phát ngôn của Google, Ed Fernandez cho biết phần mềm này được tạo ra “cho các thiết bị demo trong các cửa hàng Verizon và không còn được sử dụng nữa”, đồng thời nói thêm rằng Google “không thấy bằng chứng nào về bất kỳ hoạt động khai thác nào”.

iVerify đã thông báo cho Google về báo cáo của mình vào đầu tháng 5, theo Có dâyCông ty không tiết lộ công khai lỗ hổng này cũng như không phát hành bản cập nhật phần mềm để khắc phục sự cố. Có dây Android sẽ thông báo xóa ứng dụng này khỏi tất cả các thiết bị Pixel “trong vài tuần tới”, điều mà Fernandez đã xác nhận với Bờ rìa.

Stucki của Palantir nói với The Verge: “Điều đó thực sự khó chịu. Các pixel được cho là phải sạch”. thư“Có nhiều công cụ phòng thủ được tích hợp trong điện thoại Pixel.”