Sebagian besar ponsel Google Pixel yang dijual sejak September 2017 menyertakan perangkat lunak yang dapat digunakan untuk mengawasi atau mengendalikan ponsel pengguna dari jarak jauh, menurut laporan baru laporan dari perusahaan keamanan siber iVerify.
Kerentanan tersebut ditemukan setelah pemindai endpoint detection and response (EDR) iVerify menandai perangkat Android yang tidak aman di Palantir Technologies, klien iVerify. Setelah meluncurkan investigasi bersama, iVerify, Palantir, dan Trail of Bits menemukan paket perangkat lunak Android tersembunyi — Showcase.apk — di seluruh perangkat Google Pixel. Perusahaan penambangan data Palantir, yang menjual produk pengawasannya ke pemerintah dan perusahaan swasta, melarang perangkat Android di seluruh perusahaan sebagai tanggapan.
“Hal ini sangat merusak kepercayaan, karena ada perangkat lunak pihak ketiga yang tidak aman dan tidak diverifikasi di dalamnya,” kata Dane Stuckey, kepala petugas keamanan informasi Palantir, diberi tahu Surat Kabar Washington Post“Kami tidak tahu bagaimana hal itu bisa terjadi, jadi kami memutuskan untuk melarang Android secara internal.”
Menurut laporan iVerify, perangkat lunak tersebut dikembangkan oleh perusahaan bernama Smith Micro Software dan tampaknya dibuat untuk Verizon untuk demo di toko. Aplikasi tersebut tidak aktif secara default dan harus diaktifkan secara manual, menurut laporan iVerify. “Saat diaktifkan, Showcase.apk membuat sistem operasi dapat diakses oleh peretas dan rentan terhadap serangan man-in-the-middle, penyuntikan kode, dan spyware,” demikian bunyi laporan tersebut. “Dampak dari kerentanan ini signifikan dan dapat mengakibatkan pelanggaran kehilangan data yang totalnya mencapai miliaran dolar.”
Dalam sebuah pernyataan kepada The VergeJuru bicara Google Ed Fernandez mengatakan perangkat lunak tersebut dibuat “untuk perangkat demo di dalam toko Verizon dan tidak lagi digunakan,” seraya menambahkan bahwa Google “tidak melihat bukti adanya eksploitasi aktif.”
iVerify memberi tahu Google tentang laporannya pada awal Mei, menurut BerkabelPerusahaan tersebut belum mengungkapkan kerentanan tersebut kepada publik, juga belum merilis pembaruan perangkat lunak untuk mengatasi masalah tersebut. Berkabel melaporkan bahwa Android akan menghapus aplikasi tersebut dari semua perangkat Pixel “dalam beberapa minggu mendatang,” yang dikonfirmasi oleh Fernandez The Verge.
“Ini benar-benar sangat meresahkan. Pixel seharusnya bersih,” kata Stuckey, dari Palantir, kepada Pos“Ada banyak fitur pertahanan yang terpasang pada ponsel Pixel.”
