レポート: 監視ソフトウェアが隠された状態で販売された Google Pixel スマートフォン

新しい調査によると、2017 年 9 月以降に販売された Google Pixel スマートフォンのほとんどには、ユーザーのスマートフォンをリモートで監視または制御するために使用できるソフトウェアが含まれています。 報告書 サイバーセキュリティ企業 iVerify より。

この脆弱性は、iVerify の顧客である Palantir Technologies の安全でない Android デバイスに iVerify の Endpoint Scanner and Response (EDR) がフラグを立てた後に発見されました。 iVerify、Palantir、Trail of Bits は共同調査を開始した後、Google Pixel デバイス全体で隠された Android ソフトウェア パッケージ – Showcase.apk – を発見しました。政府や民間企業に監視製品を販売しているデータマイニング会社パランティアは、これに対抗して全社のAndroidデバイスをブロックした。

パランティア社最高情報セキュリティ責任者のダン・スタッキー氏は、「監査を受けていないサードパーティ製の安全でないソフトウェアを使用していたということは、信頼を非常に傷つけるものだった」と述べた。 彼は言い​​ました ワシントン・ポスト「この問題がどのようにしてここに至ったのか全く分かりません。そのため、社内で Android デバイスを事実上禁止する決定を下しました。」

iVerify のレポートによると、このソフトウェアは Smith Micro Software という会社によって開発され、Verizon 向けに店内デモ用に作成されたようです。 iVerify レポートによると、アプリはデフォルトでグレー表示になっており、手動で有効にする必要があることが判明しました。 「Showcase.apk を有効にすると、ハッカーがオペレーティング システムを利用できるようになり、中間者攻撃、コード インジェクション、スパイウェアに対応できるようになります。この脆弱性の影響は大きく、総額数十億ドルに及ぶデータ損失侵害につながる可能性があります」 」と報告書は述べた。

への声明で 角Googleの広報担当者Ed Fernandez氏は、このソフトウェアは「Verizonストアのデモ端末用に作成されたもので、現在は使用されていない」と述べ、Googleは「積極的な悪用の証拠は確認されていない」と付け加えた。

iVerify は 5 月初旬に Google に報告書を通知しました。 によると 有線同社はこの脆弱性を公表しておらず、問題を解消するためのソフトウェアアップデートも発行していなかった。 有線 Androidは「今後数週間以内に」すべてのPixelデバイスからアプリを削除すると報じられており、フェルナンデス氏はそれを認めた 角。

「本当に迷惑だ。ピクセルはきれいなはずだ」と Palantir の Stucki 氏は The Verge に語った。 郵便「Pixel スマートフォンにはさまざまな防御ツールが組み込まれています。」