悪意のある人物があなたのスマートフォンを乗っ取る可能性があるのは、こうした仕組みのためですが、まず侵入口が必要です。これはShowcase.apkがホストと通信する方法に起因します。このパッケージは、安全でないHTTP接続を介してファイルをダウンロードするように設計されており、悪意のある人物はこれを悪用してPixelにアクセスする可能性があります。理論的には、この仕組み全体によって、悪意のある人物がPixelにマルウェアやスパイウェアを注入し、OSを自由に操作できるようになる可能性があります。

Pixelコミュニティ全体がパニックに陥る前に、この脆弱性が現在積極的に悪用されているという報告は今のところありません。iVerifyによると、Showcase.apkはデフォルトで有効化されておらず、有効化するには手動で操作する必要があるとのことです。iVerifyはアプリパッケージの有効化に成功しましたが、その方法は明らかにしていません。有効化にはスマートフォンへの物理的なアクセスが必要と思われますが、悪意のあるユーザーが理論上はShowcase.apkをリモートで有効化することも可能です。

これはどこから来たのですか?

そもそも、なぜこれほど多くのPixelスマートフォンにこのようなアプリパッケージが搭載されているのでしょうか？iVerifyによると、Showcase.apkは、ペアレンタルコントロール、リモートアクセスツール、データ削除プログラムなどのアプリパッケージを開発するSmith Micro社によって開発されたとのことです。iVerifyによると、Smith Micro社はShowcase.apkを、Verizonの店頭展示時にスマートフォンをデモ機として利用するためのプログラムとして開発しました。Verizonのような店舗でスマートフォンを使ったことがある人なら、そのスマートフォンで動作しているAndroidが個人用デバイスのAndroidとは異なることをご存知でしょう。Showcase.apkのようなプログラムは、まさにこのことを実現するのに役立っています。

店頭販売の端末であれば全く問題ありませんが、なぜ.apkパッケージが個人向けのPixel端末すべてに配布されたのかは不明です。Pixelに「デモモード」を有効にするツールが必要なのは明らかですし、そもそもプログラムにこれほど高いシステム権限を与える理由もありません。この組み合わせは、何百万人ものユーザーを不必要なリスクにさらすことになります。

実際、Palantirは今回の件を受けてPixelデバイスの使用を中止し、今後数年でAppleデバイスに切り替える予定だと発表しています。しかし、iVerifyはWiredに対し、他のAndroidデバイスも影響を受ける可能性があると述べ、その後、他のAndroidメーカーにもこの問題について注意喚起を行いました。

何ができるでしょうか?

残念ながら、iPhoneを購入する以外に、個人でShowcase.apkを削除する方法はありません。iVerifyによると、このパッケージはPixelのファームウェアに組み込まれており、Googleから直接ダウンロードしたAndroidのバージョンの一部です。iVerifyは5月にGoogleにこの問題を報告しており、GoogleはWiredに対し、PixelスマートフォンからShowcase.apkを削除するソフトウェアアップデートを「数週間以内に」リリースする予定だと語っています。他のAndroidスマートフォンにもこのアプリパッケージが搭載されている場合は、このアップデートも利用可能になることを期待しましょう。Googleはまた、Pixel 9シリーズのどのスマートフォンにもこのアプリパッケージが搭載されていないことを確認しています。しかし現時点では、アップデートがリリースされるまで、Showcase.apkはPixelにインストールされたままです。

次の記事へスクロールしてください