Android 手機有遠端存取漏洞

《華盛頓郵報》報導，部分 Android 手機被發現存在一個隱藏的安全漏洞，可允許惡意份子遠端存取用戶資料，此一漏洞引起了網路安全專家的警惕，並導致大型資料分析平台供應商要求內部員工停止使用這些設備。

此一漏洞是由安全公司 iVerify 所發現，漏洞涉及了一個名為 Showcase.apk 的預安裝應用程式，此一應用程式預設是處於休眠狀態，但仍可被啟動使用，從而可能允許對設備進行未經允許的遠端存取。

Showcase.apk 應用程式存在於部分 Android 機款中，其中也包括了 Google Pixel。據 iVerify 指稱，此一應用程式似乎是為了零售環境使用而設計，允許員工向客戶展示該設備的功能。只不過研究人員發現，此一應用程式啟動後可以透過不安全的「http」連接連接到伺服器，從而容易受到網路犯罪分子的攔截。

此一缺陷可能使攻擊者能夠遠端執行程式碼，從而在受害者的設備中助力惡意程式碼或間諜軟體，獲取裝置上儲存的敏感資料的存取權限。

Palantir Technologies 是一家經常與政府機構和其他安全敏感客戶合作的資料分析平台供應商，對此漏洞的影響表示嚴重擔憂。因此該公司現在已要求內部員工禁止使用 Android 手機。

Pixel 裝置上存在的此漏洞尤其值得使用著關注，因為它們以直接從 Google 即時接收安全性更新而聞名。Google 現在已宣布將釋出更新，從所有受支援的 Pixel 裝置中刪除 Showcase.apk 應用程式。其他 Android 裝置廠商也將收到有關該問題的正式通知。