/cdn.vox-cdn.com/uploads/chorus_asset/file/25532313/STK478_breaking_into_phone_C.jpg)
Sebagian besar ponsel Google Pixel yang terjual sejak September 2017 termasuk perangkat lunak yang dapat digunakan untuk melakukan survei atau mengendalikan ponsel pengguna dari jarak jauh, menurut laporan terbaru dari perusahaan keamanan cyber iVerify.
Kerentanan ini ditemukan setelah scanner deteksi dan respons (EDR) iVerify menandai perangkat Android yang tidak aman di Palantir Technologies, klien iVerify. Setelah meluncurkan penyelidikan bersama, iVerify, Palantir, dan Trail of Bits menemukan paket perangkat lunak Android tersembunyi – Showcase.apk – di sejumlah perangkat Google Pixel. Perusahaan penambangan data Palantir, yang menjual produk surveilansnya kepada pemerintah dan perusahaan swasta, melarang penggunaan perangkat Android di perusahaannya sebagai respons.
“Ini sangat merugikan kepercayaan, memiliki perangkat lunak pihak ketiga yang tidak diverifikasi dan tidak aman di dalamnya,” kata Dane Stuckey, Chief Information Security Officer Palantir, kepada The Washington Post. “Kami tidak tahu bagaimana itu bisa masuk, jadi kami memutuskan untuk efektif melarang penggunaan Android di internal perusahaan.”
Menurut laporan iVerify, perangkat lunak tersebut dikembangkan oleh perusahaan bernama Smith Micro Software dan tampaknya dibuat untuk Verizon untuk demo di toko. Aplikasi tersebut tidak aktif secara default dan harus diaktifkan secara manual, demikian temuan laporan iVerify. “Ketika diaktifkan, Showcase.apk membuat sistem operasi rentan terhadap serangan man-in-the-middle, injeksi kode, dan perangkat lunak mata-mata,” tulis laporan tersebut. “Dampak kerentanan ini signifikan dan dapat mengakibatkan kebocoran data senilai miliaran dolar.”
Dalam sebuah pernyataan kepada Post, juru bicara Google Ed Fernandez mengatakan perangkat lunak tersebut dibuat “untuk perangkat demo di toko Verizon dan tidak lagi digunakan.” Google tidak segera merespons permintaan komentar dari The Verge.
iVerify memberi tahu Google tentang laporannya pada awal Mei, menurut Wired. Perusahaan tersebut tidak secara publik mengungkapkan kerentanan tersebut, dan belum merilis pembaruan perangkat lunak untuk mengatasi masalah tersebut. Fernandez, juru bicara Google, mengatakan kepada Wired bahwa Android akan menghapus aplikasi tersebut dari semua perangkat Pixel “dalam beberapa minggu mendatang,” menambahkan bahwa Google belum melihat bukti eksploitasi aktif dari perangkat lunak tersebut.
“Ini sungguh mengkhawatirkan. Pixel seharusnya bersih,” kata Stuckey dari Palantir kepada Post. “Ada sejumlah hal pertahanan yang dibangun di ponsel Pixel.”