近日国外科技媒体 Cybernews发文表示,其安全团队发现谷歌最新发布的旗舰智能手机 Pixel 9 Pro XL,在未安装任何应用程序前便频繁向谷歌传送用户的私密数据。Cybernews研究团队还发现,该设备可能具备远程管理功能,用户很可能在不知情或未授权的情况下被控制。
根据Cybernews的安全研究员阿拉斯·纳扎罗瓦斯(Aras Nazarovas)介绍,Pixel 9 Pro XL每15分钟就会向谷歌发送数据包,这其中包含了用户的位置信息、电子邮件地址、电话号码、网络状态等数据。此外,研究团队发现该设备还会定期下载并运行新代码,这可能会带来潜在的安全风险。
阿拉斯指出:“Pixel 9 Pro XL使用个人身份信息(PII)来进行认证、配置和日志记录,这些数据传输并未经过充分的匿名化处理,频率较高,并不符合行业最佳实践。” 研究显示,即使关闭GPS,该设备仍然可以通过附近的Wi-Fi网络估算位置,并在未经用户明确同意的情况下向一些不常使用的服务传送数据。例如,研究团队未曾打开过照片应用,但设备仍与与谷歌照片的“人脸分组”端点联系,这种未经许可的通信引发了对用户隐私的担忧。
Cybernews团队还观察到,Pixel 9 Pro XL可能具备谷歌保留的远程管理能力。设备中内置的“CloudDPC”程序包通常用于管理企业设备,例如更改安全策略、远程分发应用、擦除数据等。研究团队指出:“我们发现CloudDPC与谷歌服务器联系,这意味着谷歌或许能够远程控制用户设备,甚至在未告知用户的情况下进行设置更改或执行某些操作。”
此外,设备还会定期连接到一个“实验和配置”端点,用于A/B测试或广告活动。阿拉斯表示,虽然此次研究中未观察到任何有害操作,但这些基础设施的存在意味着用户对设备的控制可能不如想象中那样完全。
目前谷歌未对上述发现作出回应,但以目前的发现来看,智能手机在隐私和安全方面仍有不少隐患,用户在使用时需多加留意。
Comments