Scroll untuk baca artikel
#Viral

Hampir Semua Ponsel Google Pixel Terkena Cacat Aplikasi Android Tersembunyi yang Belum Diperbaiki

128
×

Hampir Semua Ponsel Google Pixel Terkena Cacat Aplikasi Android Tersembunyi yang Belum Diperbaiki

Share this article
hampir-semua-ponsel-google-pixel-terkena-cacat-aplikasi-android-tersembunyi-yang-belum-diperbaiki
Hampir Semua Ponsel Google Pixel Terkena Cacat Aplikasi Android Tersembunyi yang Belum Diperbaiki

Lini ponsel pintar andalan Google Pixel menggembar-gemborkan keamanan sebagai fitur utamamenawarkan pembaruan perangkat lunak terjamin selama tujuh tahun dan menjalankan stok Android yang dimaksudkan bebas dari add-on pihak ketiga dan bloatware. Namun, pada hari Kamis, para peneliti dari perusahaan keamanan perangkat seluler iVerify menerbitkan temuan pada kerentanan Android yang tampaknya ada di setiap rilis Android untuk Pixel sejak September 2017 dan dapat membuat perangkat rentan terhadap manipulasi dan pengambilalihan.

Masalah ini terkait dengan paket perangkat lunak yang disebut “Showcase.apk” yang berjalan di tingkat sistem dan tidak terlihat oleh pengguna. Aplikasi ini dikembangkan oleh perusahaan perangkat lunak perusahaan Smith Micro untuk Verizon sebagai mekanisme untuk menempatkan ponsel ke dalam mode demo toko ritel—ini bukan perangkat lunak Google. Namun selama bertahun-tahun, aplikasi ini telah ada di setiap rilis Android untuk Pixel dan memiliki hak istimewa sistem yang mendalam, termasuk eksekusi kode jarak jauh dan instalasi perangkat lunak jarak jauh. Yang lebih berisiko lagi, aplikasi ini dirancang untuk mengunduh file konfigurasi melalui koneksi web HTTP yang tidak terenkripsi yang menurut peneliti iVerify dapat dibajak oleh penyerang untuk mengambil alih kendali aplikasi dan kemudian seluruh perangkat korban.

Example 300x600

iVerify mengungkapkan temuannya kepada Google pada awal Mei, dan raksasa teknologi itu belum merilis perbaikan untuk masalah tersebut. Juru bicara Google Ed Fernandez memberi tahu WIRED dalam sebuah pernyataan bahwa Showcase “tidak lagi digunakan” oleh Verizon, dan Android akan menghapus Showcase dari semua perangkat Pixel yang didukung dengan pembaruan perangkat lunak “dalam beberapa minggu mendatang.” Ia menambahkan bahwa Google belum melihat bukti eksploitasi aktif dan bahwa aplikasi tersebut tidak ada di perangkat seri Pixel 9 baru yang diumumkan Google minggu ini.

Menanggapi pertanyaan WIRED tentang kerentanan Showcase, juru bicara Verizon George Koroneos mengatakan, “APK yang dimaksud digunakan untuk demo ritel dan tidak lagi digunakan.” Smith Micro tidak menanggapi permintaan komentar WIRED sebelum publikasi.

“Saya telah melihat banyak kerentanan Android, dan yang satu ini unik dalam beberapa hal dan cukup meresahkan,” kata Rocky Cole, kepala operasi iVerify dan mantan analis Badan Keamanan Nasional AS. “Saat Showcase.apk berjalan, ia memiliki kemampuan untuk menguasai ponsel. Namun, sejujurnya, kodenya jelek. Hal ini menimbulkan pertanyaan tentang mengapa perangkat lunak pihak ketiga yang berjalan dengan hak istimewa yang begitu tinggi di dalam sistem operasi tidak diuji lebih dalam. Bagi saya, tampaknya Google telah mendorong bloatware ke perangkat Pixel di seluruh dunia.”

Peneliti iVerify menemukan aplikasi tersebut setelah pemindai deteksi ancaman perusahaan tersebut menandai validasi aplikasi Google Play Store yang tidak biasa pada perangkat pengguna. Pelanggan tersebut, perusahaan analisis data besar Palantir, bekerja sama dengan iVerify untuk menyelidiki Showcase.apk dan mengungkapkan temuan tersebut kepada Google. Kepala petugas keamanan informasi Palantir, Dane Stuckey, mengatakan bahwa penemuan tersebut dan apa yang ia gambarkan sebagai respons Google yang lambat dan tidak jelas telah mendorong Palantir untuk menghentikan tidak hanya ponsel Pixel, tetapi juga semua perangkat Android di seluruh perusahaan.

“Google menyematkan perangkat lunak pihak ketiga dalam firmware Android dan tidak mengungkapkannya kepada vendor atau pengguna menciptakan kerentanan keamanan yang signifikan bagi siapa pun yang bergantung pada ekosistem ini,” kata Stuckey kepada WIRED. Ia menambahkan bahwa interaksinya dengan Google selama kurun waktu pengungkapan standar 90 hari “sangat mengikis kepercayaan kami pada ekosistem tersebut. Untuk melindungi pelanggan kami, kami harus membuat keputusan sulit untuk meninggalkan Android di perusahaan kami.”

Wakil presiden bidang penelitian iVerify, Matthias Frielingsdorf, mengemukakan bahwa meskipun Showcase merupakan fitur yang mengkhawatirkan bagi perangkat Pixel, fitur ini dinonaktifkan secara default. Ini berarti bahwa penyerang harus terlebih dahulu mengaktifkan aplikasi tersebut di perangkat target sebelum dapat mengeksploitasinya. Cara paling mudah untuk melakukannya adalah dengan memiliki akses fisik ke ponsel korban serta kata sandi sistem mereka atau kerentanan lain yang dapat dieksploitasi yang memungkinkan mereka untuk membuat perubahan pada pengaturan. Fernandez dari Google juga menekankan faktor pembatas ini.

“Kami hanya menemukan cara fisik untuk mengaktifkannya, tetapi mungkin ada cara lain yang dapat dilakukan penyerang jarak jauh atau seseorang yang sudah menggunakan malware di ponsel untuk mengaktifkannya dan menggunakannya untuk meningkatkan hak istimewa,” kata Frielingsdorf. “Sejauh pengetahuan kami, akses fisik membatasi bahayanya. Jika saya tahu cara jarak jauh yang jelas untuk melakukan ini, saya tidak akan mau mengungkapkannya ke publik karena perangkat jutaan orang akan berada dalam bahaya.” Ia menambahkan bahwa iVerify membatasi detail teknis yang dirilisnya tentang masalah tersebut hingga Google mengeluarkan perbaikannya.

Para peneliti iVerify mengatakan bahwa, selain ponsel Pixel, ada kemungkinan Showcase juga tertanam di perangkat Android lainnya. Fernandez dari Google mengatakan kepada WIRED dalam pernyataannya bahwa “kami juga memberi tahu OEM Android lainnya,” yang berarti produsen peralatan asli lainnya yang membuat ponsel Android.

“Kami lebih suka Google menambalnya sebelum kami membicarakannya secara publik, tetapi ketidakmampuan mereka untuk memberikan tanggal perbaikan yang spesifik membuat kami tidak punya pilihan lain,” kata Cole dari iVerify. “Musuh yang memiliki sumber daya yang baik seperti negara dapat memanfaatkan ini—ini berpotensi menjadi pintu belakang ke hampir semua Pixel di dunia.”

Diperbarui pukul 1 siang ET, 15/8/2024: Menambahkan pernyataan dari Verizon.