知道吗，你无法逃脱谷歌的监视行动

0x00 免责声明

传播、利用橙说安全公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，本公众号及作者不为此承担任何责任！如有侵权、错误信息烦请告知，我们确认后会立即删除文章并致歉。谢谢！

0x01

Google的最新旗舰智能手机Pixel 9 Pro XL引起了人们对用户隐私和安全性的担忧。在安装任何应用程序之前，该手机经常将用户私人用户数据传输到google。安全研究团队还发现，它可能具有用户不知情的远程管理功能。

安全研究人员分析了谷歌 Pixel 9 Pro XL智能手机的网络流量，发现了谷歌手机的一些潜在秘密。

安全研究人员Aras Nazarovas说：“每隔15分钟，Google Pixel 9 Pro XL手机会向谷歌发送数据包，包括设备共享位置、电子邮件地址、手机号码、网络状态和其他遥测信息等。更令人担忧的是，该手机还会定期尝试下载和运行新的代码，有可能打开安全风险。”

目前，安全团队已就该问题联系谷歌但是目前没收到任何回应。

0x02

该手机值得质疑的行为如下：

1、手机在后台反复发送用户隐私数据

每隔15分钟，手机后台向谷歌服务器的AUTH接口发送数据，包括电子邮件地址、电话号码、位置、应用程序列表以及其他遥测和统计信息。

此外，每隔40分钟左右，该手机还向谷歌服务器check-in接口发送数据，包括手机的基本配置信息，比如手机固件版本、使用WiFi还是使用移动数据、SIM卡载体和用户电子邮件地址等。

即使禁用GPS定位功能，发送的数据报文中还是包括用户的定位信息，主要是通过附近WIFI热点来估算位置。

2、手机不断检查要运行的新代码

机不断请求新的“实验和配置”，尝试访问生产环境，并连接到设备管理和策略执行端点，这表明Google可能具有遥控功能。

Google似乎保留了一些对手机的远程管理和控制功能。

大多数Android手机都内置了一个“ CloudDPC”软件包。它用于管理企业设备，例如更改安全策略，远程分发应用程序，擦拭数据等。

研究人员指出：“令人担忧的是，我们观察到CloudDPC与Google的服务器联系。这表明只要该公司愿意的话，就能够控制用户的手机并执行操作。当供应商可以在未经用户知情和同意的情况下进行更改时，用户似乎无法完全控制该设备。”

此外，该手机设备会定期访某一个服务并尝试下载代码。这揭示了谷歌对手机具备远程分发安装新软件包的能力。

3、手机连接用户没有明确同意的服务

手机连接到用户未用到的服务或用户没有明确同意的服务，例如Face Grouping，可能引起隐私和所有权问题。

研究人员发现，在其没有打开一次照片应用程序，也没有拍摄任何照片的情况下，该手机却在用户未知情未授权同意的情况下，定期访问Google Photos的 Face Grouping功能。

另一个Google功能Voice-Search偶尔连接到其服务器 - 有时每隔几分钟，有时它会持续数小时。voice-search接口发送数据如下图：

它发送了潜在的过多和敏感的数据，包括设备重启次数，开机时间、上电功率、安装应用程序列表等。

4、在某些情况下，该手机的计算器app会将计算历史记录泄漏给具有物理访问的未经身份验证的用户。

在使用手机时，研究人员观察到了另一个潜在的风险方面。当像素设备被锁定时，可以通过通知托盘小部件访问计算器应用程序。启动时，该应用程序的不受限制版本揭示了计算器的历史记录。虽然不是最敏感的数据，但它仍然不应适合任何旁路人。

0x023

真的没想到，作为业界巨头的谷歌，竟然会存在这样的问题，这还是那个动不动就高举“捍卫人权”大大旗的谷歌吗？

这只能

进一步证实了谷歌在美国的八大金刚地位

，之前‌斯诺登揭露了美国国家安全局通过“八大金刚”公司监控全球通信和数据。‌这些公司包括思科、IBM、谷歌、高通、英特尔、苹果、甲骨文和微软，它们被广泛用于世界各国的关键信息基础设施的建设中。

幸好，这些年来我国实施自主可控安全战略，信息技术国产化方面已经取得重大进步，加油吧，我的国！

自强不息，止于至善。

自强不息，厚德载物。