你的像素固件存在危险的安全漏洞

　　

　　

　　在谷歌向全世界发布Pixel 9系列产品不到48小时后，爆出的消息可能会让该公司的庆祝活动暂停:自2017年以来，Pixel的固件中就存在一个重大安全漏洞，用户无法删除或修复。

　　这则消息来自自称“移动请客狩猎”公司iVerify和数据分析软件公司Palantir Technologies。iVerify周四在一篇博客文章中宣布发现了这一漏洞，并警告说，这一安全漏洞使Pixel手机上的安卓系统面临中间人攻击、恶意软件和间谍软件安装的风险。

　　该漏洞来自Android上的应用程序包Showcase.apk，该应用程序安装在“非常大比例”的Pixel手机上。(iVerify没有给出确切数字，但声称有“数百万”Pixel设备受到影响。)据报道，Showcase.apk运行在“高度特权的上下文中”，这意味着它拥有影响手机操作系统的权限。这包括远程代码执行和远程包安装的能力，允许远程参与者在设备上运行他们自己的代码或安装他们自己的程序。

　　虽然这是让坏人有可能劫持你手机的原因，但他们首先需要一个入口点。这源于Showcase.apk与其主机的通信方式:该软件包旨在通过不安全的HTTP连接下载文件，恶意行为者可以利用该连接访问您的Pixel。从理论上讲，整个事情可能会让坏人在你的Pixel上注入恶意软件和间谍软件，并按照他们认为合适的方式操纵操作系统。

　　在集体Pixel社区爆发之前，目前还没有报告称该漏洞正在被积极利用。iVerify说默认情况下没有启用Showcase.apk，需要人工干预才能打开。iVerify能够激活应用程序包，但不愿透露他们是如何激活的。虽然看起来你需要物理访问手机才能做到这一点，但恶意用户理论上可以远程激活Showcase.apk。

　　为什么这么多Pixel手机会有这样一个应用程序包呢?iVerify表示，Showcase.apk是由Smith Micro开发的，该公司生产用于家长控制、远程访问工具和数据删除程序的应用程序包。iVerify表示，史密斯微公司开发的Showcase.apk是为了让威瑞森在店内展示时将手机变成演示设备。如果你曾经在Verizon这样的商店里使用过智能手机，你就会知道手机上运行的安卓系统与个人设备上运行的安卓系统是不同的:这就是像Showcase.apk这样的程序帮助你实现的。

　　对于实体店的设备来说，这一切都很好，但目前还不清楚为什么。apk软件包会出现在所有这些个人Pixel设备上。很明显，你的Pixel不需要一个工具来激活“演示模式”，也没有理由让程序拥有如此高的系统权限。这种组合将数百万用户置于不必要的风险之中。

　　事实上，Palantir表示，由于这次事件，他们将不再使用Pixel设备，并将在未来几年内改用苹果设备。然而，iVerify告诉《连线》杂志，其他安卓设备也可能受到影响，并且已经联系了其他安卓制造商，提醒他们注意这个问题。

　　不幸的是，你个人无法摆脱Showcase.apk，更不用说购买iPhone了。iVerify表示，这个软件包被植入了Pixel的固件中，是你直接从谷歌(Google)下载的Android版本的一部分。iVerify确实在5月份向谷歌披露了这个问题，谷歌告诉《连线》杂志，“未来几周”将推出软件更新，从Pixel手机上删除Showcase.apk。希望如果其他Android手机有这个应用程序包，他们也可以使用这个更新。谷歌还证实，Pixel 9系列中没有手机包含该应用程序包。但就目前而言，在更新到来之前，Showcase.apk会卡在你的Pixel上。