/cdn.vox-cdn.com/uploads/chorus_asset/file/25532313/STK478_breaking_into_phone_C.jpg)
대부분의 구글 픽셀폰은 2017년 9월 이후 판매된 것으로, 사용자의 전화를 감시하거나 원격으로 제어하는 데 사용될 수 있는 소프트웨어가 포함되어 있었던 것으로 보안 사이버 보안 회사인 iVerify의 새로운 보고서에 따르면 밝혀짐.
이 취약점은 iVerify의 엔드포인트 탐지 및 대응(EDR) 스캐너가 Palantir Technologies의 불안전한 안드로이드 장치를 감지한 후 발견됨. 공동 조사를 시작한 iVerify, Palantir, Trail of Bits는 구글 픽셀 장치에서 숨겨진 안드로이드 소프트웨어 패키지인 Showcase.apk를 발견함. 정부와 민간 기업에 감시 제품을 판매하는 데이터 마이닝 회사인 Palantir는 이에 따라 회사 내에서 안드로이드 장치를 금지함.
“신뢰에 매우 해로운 일이었다. 검증되지 않은 불안전한 소프트웨어가 존재하다니,”라고 Palantir의 최고 정보 보안 책임자인 Dane Stuckey가 워싱턴 포스트에 말함. “우리는 그것이 어떻게 거기에 있었는지 전혀 알지 못하므로, 내부적으로 안드로이드를 금지하기로 결정함.”
iVerify의 보고서에 따르면, 이 소프트웨어는 Smith Micro Software라는 회사에서 개발하였으며 Verizon의 매장 데모용으로 만들어진 것으로 보임. 이 앱은 기본적으로 비활성 상태였으며 수동으로 활성화해야 했음. “활성화되면 Showcase.apk는 운영 체제를 해커에게 접근 가능하게 하여 중간자 공격, 코드 주입 및 스파이웨어에 취약하게 만든다,”고 보고서에 적혀 있음. “이 취약점의 영향은 상당하며, 수십억 달러에 달하는 데이터 손실 위반을 초래할 수 있다.”
구글 대변인 Ed Fernandez는 The Verge에 이 소프트웨어가 “Verizon 매장 데모 장치용으로 만들어졌으며 더 이상 사용되지 않는다”고 말하며, 구글은 “활성 착취의 증거를 보지 못했다”고 덧붙임.
iVerify는 Wired에 따르면 5월 초에 구글에 이 보고서를 전달했으며, 이 회사는 취약점을 공개하지 않았고 문제를 제거하기 위한 소프트웨어 업데이트도 출시하지 않았음. Wired는 안드로이드가 “앞으로 몇 주 내에 모든 픽셀 장치에서 이 앱을 제거할 것”이라고 보도했으며, Fernandez는 The Verge에 이를 확인함.
“정말로 걱정스럽다. 픽셀은 깨끗해야 한다,”고 Palantir의 Stuckey가 포스트에 말함. “픽셀 폰에 기반한 방어 시스템이 많이 구축되어 있다.”
