Google akan menghapus aplikasi bawaan dari perangkat ponsel Pixel-nya lebih dari 90 hari setelah kontraktor intelijen Palantir dan perusahaan keamanan seluler sayaVerifikasi menyuarakan kekhawatiran tentang kerentanan utama dalam perangkat lunakkata Google Rabu malam.
Aplikasi yang dimaksud, Showcase.apk, dimaksudkan untuk membantu karyawan yang menjual ponsel Pixel mendemonstrasikan fitur-fitur ponsel tersebut, kata iVerify. Namun, saat aplikasi yang biasanya tidak aktif tersebut diaktifkan, aplikasi tersebut mengakses informasi dari situs Amazon Web Services menggunakan protokol http yang kurang aman sehingga rentan terhadap peretasan.
Informasi tentang kerentanan aplikasi Pixel dipublikasikan pada hari Kamis dalam sebuah laporan dari iVerify yang disiarkan oleh Palantir dan perusahaan keamanan Trail of Bits. Palantir mengatakan telah memberi tahu Google tentang masalah tersebut lebih dari 90 hari yang lalu dan kekhawatirannya tidak ditanggapi. Palantir kemudian berhenti mengeluarkan ponsel Android kepada karyawan karena kekhawatiran tentang keamanan perangkat lunak tersebut.
Google mengatakan dalam surel kepada CNET bahwa aplikasi tersebut dikembangkan oleh pihak ketiga, Smith Micro untuk Verizon, dan mengatakan aplikasi tersebut tidak menunjukkan kerentanan Android atau Pixel karena aplikasi tersebut hanya digunakan untuk perangkat di dalam toko. Perusahaan tersebut mengatakan aplikasi tersebut tidak lagi digunakan.
“Eksploitasi aplikasi ini pada ponsel pengguna memerlukan akses fisik ke perangkat dan kata sandi pengguna,” kata juru bicara Google kepada CNET. “Kami tidak melihat bukti adanya eksploitasi aktif. Sebagai tindakan pencegahan, kami akan menghapusnya dari semua perangkat Pixel yang didukung di pasaran dengan pembaruan perangkat lunak Pixel mendatang. Aplikasi ini tidak tersedia pada perangkat seri Pixel 9. Kami juga memberi tahu OEM Android lainnya.”
Berita tentang potensi masalah keamanan pada ponsel Pixel muncul pada minggu yang sama ketika Google memperkenalkan lini ponsel Pixel barunya di acara Made By Google di Mountain View, California. Di sana, perusahaan tersebut memperkenalkan jajaran perangkat keras barunya berupa ponsel, jam tangan, dan earbud serta fitur AI dalam perangkat lunak Gemini.
“Meskipun kami tidak memiliki bukti bahwa kerentanan ini dieksploitasi secara aktif, kerentanan ini tetap memiliki implikasi serius bagi lingkungan perusahaan, dengan jutaan ponsel Android memasuki tempat kerja setiap hari,” kata Rocky Cole, salah satu pendiri dan kepala operasi di iVerify, dalam sebuah pernyataan. singkat tentang laporan pada hari Kamis. “Google pada dasarnya memberi CISO pilihan yang mustahil untuk menerima bloatware yang tidak aman atau melarang Android sepenuhnya.”
iVerify mengatakan bahwa aplikasi yang dimaksud tidak dapat dihapus oleh pengguna; aplikasi tersebut merupakan bagian dari firmware ponsel Pixel. Aplikasi tersebut dapat menimbulkan masalah pada perangkat Android non-Pixel lain yang dikeluarkan oleh Verizon yang berisi aplikasi Showcase.
Google mengatakan dalam surel bahwa pembaruan Pixel akan dirilis “dalam beberapa minggu mendatang,” tetapi tidak mengeluarkan instruksi apa pun kepada pengguna tentang apa yang dapat mereka lakukan untuk melindungi ponsel mereka hingga hal itu terjadi selain menjauhkannya dari tangan peretas.
Tonton ini: Google Pixel 9, 9 Pro dan 9 Pro XL Hands-On
