Laporan baru mengungkapkan bahwa banyak ponsel Google Pixel yang dijual selama beberapa tahun terakhir memiliki aplikasi “Showcase” yang terpasang sehingga menimbulkan celah keamanan yang mengkhawatirkan, tetapi hal tersebut akan segera diperbaiki.
Mempengaruhi hampir semua ponsel Pixel, “Showcase” adalah APK yang telah dimuat sebelumnya di perangkat Google selama bertahun-tahun. Aplikasi ini dikembangkan oleh Smith Micro untuk Verizon dan digunakan untuk meluncurkan mode ritel di perangkat. Namun, aplikasi ini dimuat sebelumnya (di luar jangkauan pengguna) di “setiap rilis Android untuk Pixel,” sebagai BERKABEL laporan.
“Showcase” disebut-sebut memiliki hak istimewa sistem tingkat lanjut, termasuk kemampuan untuk memasang perangkat lunak atau menjalankan kode dari jarak jauh. Aplikasi ini dirancang untuk mengunduh berkas konfigurasi yang, tampaknya, dilakukan melalui koneksi HTTP yang tidak terenkripsi dan rentan terhadap pembajakan. Itulah ketakutan utama aplikasi ini. Hak istimewa mendalam yang dimiliki “Showcase” dalam Android pada perangkat Pixel dapat membuat perangkat tersebut dapat dikendalikan oleh pihak jahat melalui hak istimewa aplikasi.
iVerify, perusahaan yang menemukan kerentanan tersebut, mengungkapkan temuannya kepada Google pada bulan Mei dan menggambarkan masalah tersebut sebagai “unik dalam beberapa hal dan cukup meresahkan.”
Bagi pengguna akhir, tingkat risiko di sini tampak minimal. Meskipun aplikasi sudah terpasang di perangkat Pixel, aplikasi dinonaktifkan secara default, sehingga memerlukan akses fisik ke perangkat (dan kode sandi) untuk mengaktifkannya. Dan, dalam pengujian singkat kami, tidak ada cara mudah untuk mengakses aplikasi.
Google juga telah mengakui kerentanan tersebut dan mengonfirmasi bahwa mereka akan menghapus “Showcase” dari perangkat Pixel “dalam beberapa minggu mendatang.” Google juga mengonfirmasi bahwa aplikasi tersebut tidak lagi digunakan oleh Verizon atau Google, dan tidak ada bukti eksploitasi aktif terhadap kerentanan tersebut.
Seri Pixel 9 dikirimkan tanpa “Showcase” yang terpasang.
Kerentanan tersebut ditemukan oleh iVerify atas nama Palantir, sebuah perusahaan analisis data. Namun, respons Google terhadap masalah tersebut dianggap “lambat” dan “tidak jelas” dan menyebabkan Palantir menghentikan perangkat Pixel, dan perangkat Android secara keseluruhan, di dalam perusahaannya. Kepala petugas keamanan informasi Palantir mengatakan bahwa respons Google dan fakta bahwa aplikasi tersebut tidak diungkapkan sejak awal “sangat mengikis kepercayaan kami pada ekosistem tersebut.”
Tidak jelas apakah perangkat Android lain juga telah memasang “Showcase”, tetapi Google tampaknya “memberi tahu OEM Android lainnya.”
Belum ada kabar kapan tepatnya “Showcase” akan dihapus dari semua perangkat Pixel yang “didukung”, tetapi kemungkinan akan hadir melalui patch keamanan mendatang.
Lebih lanjut tentang Google Pixel:
Ikuti Ben: Twitter/JawabannyaBahasa Indonesia: BenangDan Instagram
FTC: Kami menggunakan tautan afiliasi otomatis yang menghasilkan pendapatan. Lagi.
