最近，谷歌的一些Android手機被發(fā)現(xiàn)內(nèi)置了一個隱藏的不安全功能，這一功能可能被激活后會允許遠程控制或監(jiān)視用戶。據(jù)網(wǎng)絡(luò)安全公司iVerify披露，這一漏洞是在一家美國情報承包商的手機中發(fā)現(xiàn)的。

這一隱藏的應(yīng)用程序名為“Showcase.apk”，它通常處于休眠狀態(tài)，但iVerify的研究人員成功在一臺設(shè)備上啟用了它，并認為有經(jīng)驗的黑客也可以遠程激活這一程序。更為嚴重的是，該應(yīng)用程序通過一個不安全的HTTP連接下載指令文件，這樣的連接很容易被攔截并被冒充，黑客可能通過這種方式向設(shè)備發(fā)送惡意指令。值得注意的是，這款應(yīng)用無法通過常規(guī)的卸載程序刪除。

iVerify的研究人員指出，這一漏洞影響了數(shù)百萬臺谷歌Pixel設(shè)備，使得這些設(shè)備容易受到中間人攻擊，可能導(dǎo)致網(wǎng)絡(luò)犯罪分子注入惡意代碼和間諜軟件。這一發(fā)現(xiàn)引發(fā)了廣泛的安全擔憂，特別是對于像Palantir Technologies這樣在高風險領(lǐng)域運營的公司。Palantir Technologies的首席信息安全官Dane Stuckey表示，由于這一漏洞的存在，公司決定停止向員工發(fā)放Android手機。Stuckey還提到，谷歌Pixel手機一向被認為是非常安全的設(shè)備，這一事件嚴重破壞了他們對設(shè)備的信任。

iVerify公司表示，他們在90多天前就已聯(lián)系谷歌通報這一發(fā)現(xiàn)，但谷歌并未明確表示是否會刪除或修復(fù)這一應(yīng)用程序。直到本周三晚，谷歌發(fā)言人Ed Fernandez才向《華盛頓郵報》表示，公司將發(fā)布更新，從所有受支持的Pixel設(shè)備中移除這一應(yīng)用程序，并通知其他Android手機的分銷商。

Fernandez還表示，這款應(yīng)用程序最初是為Verizon門店展示設(shè)備而設(shè)計的，目前已不再使用。他認為，利用這一應(yīng)用程序進行攻擊的可能性較低，因為黑客需要獲得設(shè)備的物理訪問權(quán)限并掌握用戶密碼。

進一步的調(diào)查顯示，這款Showcase應(yīng)用程序似乎是由一家名為Smith Micro Software的賓夕法尼亞公司開發(fā)的，該公司主要開發(fā)遠程訪問和家長控制工具的軟件。截止目前，Smith Micro尚未對此事作出回應(yīng)。

這一事件再次引發(fā)了人們對移動設(shè)備安全的關(guān)注，尤其是在如今手機已成為人們生活中不可或缺的一部分的背景下。研究人員和相關(guān)公司都在呼吁用戶及時更新手機系統(tǒng)，以降低受到攻擊的風險。谷歌也承諾將采取措施修復(fù)這一問題，確保用戶的設(shè)備安全不受影響。