スマートフォン向けのセキュリティ製品を提供するiVerifyが、2017年9月以降に出荷されたGoogleのPixelデバイスには、非常に高い確率でリモートコード実行やリモートパッケージインストール機能を含む過剰なシステム権限を持つAndroidパッケージ「Showcase.apk」が含まれていると指摘している。
iVerify Discovers Android Vulnerability Impacting Millions of Pixel Devices Around the World
https://iverify.io/blog/iverify-discovers-android-vulnerability-impacting-millions-of-pixel-devices-around-the-world
iVerifyはPalantirおよびセキュリティ企業のTrail of Bitsと共同で調査を開始。
調査により、ファームウェアの一部であるAndroidアプリケーションパッケージの「Showcase.apk」の存在が明らかに。
Showcase.apkを有効にすると、ハッカーがオペレーティングシステムにアクセスできるようになり、中間者攻撃やコード・インジェクション、スパイウェアによる攻撃を受けやすくなるとの事。
iVerify曰く、Showcase.apkを必要とするデバイスはごく少数であるにもかかわらず、GoogleがすべてのPixelデバイスにこれをインストールしている理由も不明だと指摘している。
悪用されたら、被害は大きくなりそうだ。
個人的にGoogle Pixelへの興味が無くて良かった。
むしろGoogle Pixelには最新の技術やAndroid OSが先行して配布されるので、Google Pixelユーザーには悪いが、Android OSを安定させる為の試金石と考えている。
我が家はAQUOS senseシリーズを機種変しながら利用している。
現在利用中なのは「AQUOS sense8 SIMフリー」と「AQUOS sense6 SIMフリー」である。
※関連情報
世界中の何百万台ものPixelデバイスに影響を与えるAndroidの脆弱性が発見される
AQUOS sense8 SIMフリー:Android 14アップデート
AQUOS Sense6にシステムアップデート:機能改善