Sebagian besar ponsel Google Pixel yang dijual sejak September 2017 menyertakan perangkat lunak yang dapat digunakan untuk memantau atau mengontrol ponsel pengguna dari jarak jauh, menurut sebuah studi baru. sebuah laporan Dari perusahaan keamanan siber iVerify.

Kerentanan ini ditemukan setelah Endpoint Scanner and Response (EDR) iVerify menandai perangkat Android yang tidak aman di Palantir Technologies, pelanggan iVerify. Setelah meluncurkan penyelidikan bersama, iVerify, Palantir, dan Trail of Bits menemukan paket perangkat lunak Android tersembunyi – Showcase.apk – di seluruh perangkat Google Pixel. Perusahaan penambangan data Palantir, yang menjual produk pengawasannya kepada pemerintah dan perusahaan swasta, memblokir perangkat Android di seluruh perusahaan sebagai tanggapannya.

“Ini sangat merusak kepercayaan, karena memiliki perangkat lunak pihak ketiga yang tidak aman dan tidak diaudit,” kata Dan Stuckey, kepala petugas keamanan informasi di Palantir. Dia berkata Washington Post“Kami tidak tahu bagaimana masalah ini bisa terjadi, jadi kami membuat keputusan untuk secara efektif melarang perangkat Android secara internal.”

Menurut laporan iVerify, perangkat lunak tersebut dikembangkan oleh perusahaan bernama Smith Micro Software dan tampaknya dibuat untuk Verizon untuk demo di dalam toko. Laporan iVerify menemukan bahwa aplikasi tersebut berwarna abu-abu secara default dan harus diaktifkan secara manual. “Saat diaktifkan, Showcase.apk membuat sistem operasi tersedia bagi peretas dan siap menghadapi serangan man-in-the-middle, injeksi kode, dan spyware. Dampak dari kerentanan ini signifikan dan dapat menyebabkan pelanggaran kehilangan data senilai total miliaran dolar , ” kata laporan itu.

Dalam pernyataan kepada TepianJuru bicara Google Ed Fernandez mengatakan perangkat lunak itu dibuat “untuk perangkat demo di toko Verizon dan tidak lagi digunakan,” seraya menambahkan bahwa Google “tidak melihat bukti adanya eksploitasi aktif.”

iVerify memberi tahu Google tentang laporannya pada awal Mei, menurut KabelPerusahaan tidak mengungkapkan kerentanannya secara publik, juga tidak mengeluarkan pembaruan perangkat lunak untuk menghilangkan masalah tersebut. Kabel Android dilaporkan akan menghapus aplikasi tersebut dari semua perangkat Pixel “dalam beberapa minggu mendatang”, yang dikonfirmasi oleh Fernandez Tepian.

“Ini benar-benar menjengkelkan. Pikselnya seharusnya bersih,” kata Stucki dari Palantir kepada The Verge. surat“Ada berbagai alat pertahanan yang terpasang pada ponsel Pixel.”