Minggu peluncuran Google Pixel berakhir dengan peringatan baru yang serius bagi jutaan pengguna
Peringatan baru yang mengkhawatirkan bagi pengguna Android baru saja dikeluarkan, setelah ditemukannya “kerentanan keamanan serius yang memengaruhi perangkat Pixel secara global… yang menyebabkan jutaan perangkat rentan terhadap serangan man-in-the-middle (MITM), yang memberi penjahat dunia maya kemampuan untuk menyuntikkan kode berbahaya dan spyware berbahaya.”
Peringatan dari spesialis keamanan ponsel pintar sayaVerifikasi menyangkut aplikasi Showcase yang sudah terpasang di puluhan juta perangkat Pixel. Kerentanan ini pertama kali ditandai pada perangkat di Palantir yang sangat amandengan iVerify mencatat “aplikasi tersebut berjalan pada tingkat sistem dan dapat mengubah sistem operasi ponsel secara mendasar. Karena paket aplikasi diinstal melalui protokol HTTP yang tidak aman, ini membuka pintu belakang, sehingga memudahkan penjahat dunia maya untuk membahayakan perangkat.”
Palantir telah menambahkan suaranya yang berbobot ke iVerify, dengan CISO Dane Stuckey mengatakan “kami mendukung beberapa lembaga terpenting di dunia Barat. Google menyematkan perangkat lunak pihak ketiga dalam firmware Android tanpa meninjau kualitas atau keamanan aplikasi ini, dan tidak mengungkapkan hal ini kepada vendor atau pengguna, menciptakan kerentanan keamanan yang signifikan bagi siapa pun yang bergantung pada ekosistem ini.”
Kekhawatiran tentang kurangnya transparansi dan ketidakmampuan menghapus aplikasi ini begitu besar, sehingga salah satu pendiri dan COO iVerify, Rocky Cole, memperingatkan bahwa aplikasi ini “memiliki implikasi serius bagi lingkungan perusahaan, dengan jutaan ponsel Android memasuki tempat kerja setiap hari. Google pada dasarnya memberi CISO pilihan yang mustahil untuk menerima bloatware yang tidak aman atau melarang Android sepenuhnya.”
Aplikasi yang sudah terpasang sebelumnya dengan kelemahan keamanan apa pun adalah bencana yang menunggu untuk terjadi, meskipun iVerify mengakui bahwa “kami tidak memiliki bukti bahwa kerentanan ini sedang dieksploitasi secara aktif.” Alasan meningkatnya kekhawatiran adalah bahwa aplikasi tersebut “dirancang untuk mengambil berkas konfigurasi melalui HTTP yang tidak aman… untuk menjalankan perintah atau modul sistem yang dapat membuka pintu belakang, sehingga mudah untuk membahayakan perangkat.” Karena aplikasi itu sendiri tidak berbahaya, hanya dibuat dengan buruk, “sebagian besar teknologi keamanan mungkin mengabaikannya… dan karena aplikasi tersebut terpasang di tingkat sistem dan merupakan bagian dari citra firmware, aplikasi tersebut tidak dapat dihapus instalasinya di tingkat pengguna.”
iVerify mengatakan kepada saya bahwa mereka “memberi tahu Google dengan laporan kerentanan terperinci setelah proses pengungkapan mereka selama 90 hari,” meskipun pada saat itu masih “tidak jelas kapan Google akan mengeluarkan patch atau menghapus perangkat lunak dari ponsel untuk mengurangi potensi risiko.”
Meskipun “tidak ada bukti eksploitasi aktif,” Google meyakinkan saya bahwa mereka akan mengambil tindakan, dengan mengatakan bahwa “sebagai tindakan pencegahan, kami akan menghapus ini dari semua perangkat Pixel yang didukung di pasaran dengan pembaruan perangkat lunak Pixel yang akan datang. Aplikasi ini tidak ada di perangkat seri Pixel 9.” Dan sementara laporan iVerify difokuskan pada Pixel, Google juga mengatakan bahwa mereka “memberi tahu OEM Android lainnya.”
Mengenai asal usul aplikasi tersebut, Google memberi tahu saya, “ini bukan kerentanan platform Android atau Pixel, ini adalah apk yang dikembangkan oleh Smith Micro untuk perangkat demo di toko Verizon dan tidak lagi digunakan. Eksploitasi aplikasi ini di ponsel pengguna memerlukan akses fisik ke perangkat dan kata sandi pengguna.”
Belum ada pernyataan dari Smith Micro atau Verizon, tetapi saya telah menghubungi keduanya untuk memberikan komentar.
Kekhawatiran spesifik yang mendorong laporan iVerify meliputi kurangnya autentikasi selama pengambilan berkas konfigurasi, tidak adanya pemeriksaan integritas berkas tersebut sebelum mengunggahnya ke telepon, dan transmisi yang tidak aman—sehingga terjadi kerentanan MITM.
iVerify mengakui sifat “demo” dari aplikasi Showcase, “yang secara mendasar mengubah cara kerja sistem operasi,” meskipun “aplikasi berjalan dalam konteks yang sangat istimewa, yang tidak diperlukan untuk tujuan aplikasi tersebut.”
Menjelang penghapusan massal Google, iVerify memperingatkan bahwa “pengguna tidak dapat melakukan apa pun untuk melindungi diri mereka dari kerentanan ini karena kerentanan tersebut merupakan bagian dari citra firmware. Hanya Google yang dapat memperbaikinya. Itulah sebabnya paket ini memberi pengguna pilihan yang sangat sulit antara menerima kerentanan atau tidak menggunakan ponsel Pixel sama sekali.”
Peringatan ini jelas datang pada saat yang tidak tepat bagi Google, dengan Peluncuran Pixel 9 dan pertarungan yang sedang berlangsung antara Pixel dan Samsung untuk supremasi AI Android, dan dengan Apple menjelang peluncuran iPhone 16 dalam kategori premium yang lebih luas.
Jawaban atas pertanyaan iVerify tentang “mengapa Google memasang aplikasi pihak ketiga di setiap perangkat Pixel padahal hanya sejumlah kecil perangkat yang membutuhkannya” masih belum jelas. Namun, kekhawatiran itu, katanya, “cukup serius sehingga Palantir, yang membantu mengidentifikasi masalah keamanan, memilih untuk menghapus perangkat Android dari armada selulernya dan beralih sepenuhnya ke perangkat Apple dalam beberapa tahun ke depan.”
Secara keseluruhan, akhir minggu peluncuran Pixel lebih sulit dari yang diharapkan bagi Google.
