Persentase besar perangkat Pixel besutan Google yang dikirimkan secara global sejak September 2017 memuat perangkat lunak tidak aktif yang dapat digunakan untuk melancarkan serangan jahat dan mengirimkan berbagai jenis malware.
Masalah ini terwujud dalam bentuk aplikasi Android pra-instal bernama “Showcase.apk” yang disertai dengan hak istimewa sistem yang berlebihan, termasuk kemampuan untuk mengeksekusi kode dari jarak jauh dan menginstal paket sembarangan pada perangkat, menurut firma keamanan seluler iVerify.
“Aplikasi mengunduh file konfigurasi melalui koneksi yang tidak aman dan dapat dimanipulasi untuk mengeksekusi kode di tingkat sistem,” katanya dikatakan dalam analisis yang diterbitkan bersama Palantir Technologies dan Trail of Bits.
“Aplikasi tersebut mengambil berkas konfigurasi dari satu domain berbasis AS yang dihosting AWS melalui HTTP yang tidak aman, yang membuat konfigurasi tersebut rentan dan dapat membuat perangkat rentan.”
Aplikasi yang dimaksud disebut Mode Demo Ritel Verizon (“com.customermobile.preload.vzw”), yang memerlukan hampir tiga lusin izin berbeda berdasarkan artefak yang diunggah ke VirusTotal awal Februari ini, termasuk lokasi dan penyimpanan eksternal. Posting di Bahasa Indonesia: Reddit Dan Forum XDA menunjukkan bahwa paket tersebut telah ada sejak Agustus 2016.
Inti masalahnya ada pada aplikasi yang mengunduh berkas konfigurasi melalui koneksi web HTTP yang tidak terenkripsi, bukan HTTPS, sehingga membuka kemungkinan untuk mengubahnya selama pengiriman ke ponsel yang dituju. Tidak ada bukti bahwa hal itu pernah dieksplorasi secara luas.
 |
| Izin yang diminta oleh aplikasi Showcase.apk |
Perlu dicatat bahwa aplikasi tersebut bukanlah perangkat lunak buatan Google. Melainkan dikembangkan oleh perusahaan perangkat lunak perusahaan bernama Smith Micro untuk menempatkan perangkat dalam mode demo. Saat ini tidak jelas mengapa perangkat lunak pihak ketiga tertanam langsung ke firmware Android, tetapi, di balik layar, seorang perwakilan Google mengatakan bahwa aplikasi tersebut dimiliki dan diwajibkan oleh Verizon pada semua perangkat Android.
Hasil akhirnya adalah menjadikan telepon pintar Android Pixel rentan terhadap serangan musuh di tengah (AitM), yang memberikan kekuatan kepada pelaku jahat untuk menyuntikkan kode berbahaya dan spyware.
Selain berjalan dalam konteks yang sangat istimewa pada tingkat sistem, aplikasi “gagal mengautentikasi atau memverifikasi domain yang ditetapkan secara statis selama pengambilan berkas konfigurasi aplikasi” dan “menggunakan inisialisasi variabel default yang tidak aman selama verifikasi sertifikat dan tanda tangan, yang mengakibatkan pemeriksaan verifikasi yang valid setelah kegagalan.”
Meski begitu, kekritisan kekurangan tersebut diatasi sampai batas tertentu oleh fakta bahwa aplikasi tersebut tidak diaktifkan secara default, meskipun hal itu hanya dapat dilakukan jika pelaku ancaman memiliki akses fisik ke perangkat target dan mode pengembang diaktifkan.
“Karena aplikasi ini pada dasarnya tidak berbahaya, sebagian besar teknologi keamanan mungkin mengabaikannya dan tidak menandainya sebagai berbahaya, dan karena aplikasi tersebut diinstal pada tingkat sistem dan merupakan bagian dari citra firmware, aplikasi tersebut tidak dapat dihapus instalasinya di tingkat pengguna,” kata iVerify.
Dalam pernyataan yang dibagikan kepada The Hacker News, Google mengatakan bahwa kerentanan tersebut bukanlah kerentanan pada platform Android maupun Pixel, dan kerentanan tersebut terkait dengan berkas paket yang dikembangkan untuk perangkat demo Verizon di toko. Google juga mengatakan bahwa aplikasi tersebut tidak lagi digunakan.
“Eksploitasi aplikasi ini pada ponsel pengguna memerlukan akses fisik ke perangkat dan kata sandi pengguna,” kata juru bicara Google. “Kami tidak melihat bukti adanya eksploitasi aktif. Sebagai tindakan pencegahan, kami akan menghapusnya dari semua perangkat Pixel yang didukung di pasaran dengan pembaruan perangkat lunak Pixel mendatang. Aplikasi ini tidak tersedia pada perangkat seri Pixel 9. Kami juga memberi tahu OEM Android lainnya.”
:max_bytes(150000):strip_icc()/matt-reeves-batman-5e211fbaf8514a859170ace45bd1ea8e.jpg?w=100&resize=100,75&ssl=1 "Sutradara 'The Batman' Matt Reeves tentang 'The Penguin,' membatalkan spin-off")
