Sebuah laporan terbaru mendedahkan telefon Google Pixel memiliki kelemahan keselamatan yang serius disebabkan kehadiran bloatware dalam telefon itu. Ini selepas firma keselamatan peranti mudah alih, iVerify menjumpai pakej tersembunyi bernama Showcase.apk di dalam kemas kini Android untuk telefon Pixel sejak September 2017, yang sekali gus boleh mendedahkan kepada manipulasi dan serangan siber.
Showcase.apk bukan aplikasi oleh Google, tetapi dibangunkan oleh syarikat Smith Micro untuk Verizon sebagai mekanisme bagi meletakkan telefon di dalam mod demo untuk kegunaan di ruang pameran. Tetapi yang membimbangkan adalah, Showcase.apk dijumpai di setiap versi Android untuk telefon Pixel dan tertanam dalam jauh di dalam sistem. Sekiranya orang tidak bertanggungjawab mendapat akses, ia membolehkan serangan dan pemasangan perisian pengintip secara jarak jauh dilakukan tanpa memerlukan akses fizikal.
Lebih merisaukan, Showcase.apk ini turut direka untuk memuat turun fail melalui laman web HTTP tanpa penyulitan. Ia boleh mengakibatkan penyerang mengambil alih kawalan aplikasi dan kemudiannya keseluruhan peranti.
Syarikat analitik data raya, Palantir yang bekerjasama dengan iVerify untuk siasat perkara ini turut memaklumkan mereka telah mengharamkan penggunaan bukan sahaja peranti Pixel, tetapi semua peranti Android di seluruh organisasi mereka.
Sementara Showcase.apk boleh menyebabkan pendedahan yang membimbangkan untuk peranti Pixel, ia sebenarnya dimatikan secara default. Ini bermakna, aplikasi itu perlu dihidupkan terlebih dahulu dalam sesebuah peranti secara fizikal, yang juga memerlukan kata laluan atau ubah suai tetapan untuk godaman dilakukan.
Namun, menurut iVerify, berkemungkinan penyerang juga mampu untuk menghidupkan Showacase.apk ini secara jarak jauh. Apabila Showcase.apk sudah dihidupkan, ia boleh melakukan godaman yang lebih dahsyat.
Walau bagaimanapun, disebabkan Showacase.apk ini bukanlah malware atau aplikasi berbahaya secara terus, kebanyakan sistem keselamatan mungkin tidak melihatnya sebagai ancaman. Perlu untuk dinyatakan juga bahawa Showcase.apk ini tidak boleh dinyahpasang oleh pengguna. Hal ini kerana, ia dipasangkan di peringkat sistem dan merupakan sebahagian daripada fail pemasangan firmware untuk telefon Pixel.
Bagaimanapun, iVerify telahpun memaklumkan isu ini kepada Google pada awal Mei lalu. Google juga telah mengesahkan bahawa mereka akan mengeluarkan kemas kini perisian dalam beberapa minggu akan datang untuk membuang Showcase.apk dari semua peranti Pixel yang terlibat dan aplikasi itu juga tidak lagi digunakan Verizon.
Setakat ini, Google juga tidak melihat sebarang bukti eksploitasi menggunakan aplikasi itu dan ia juga tidak ada di dalam siri telefon Pixel 9 yang baru sahaja diumumkan.
Selain telefon Google Pixel, iVerify turut berpendapat berkemungkinan Showcase.apk ini juga terdapat di telefon Android lain. Oleh kerana itu, jurucakap Google mengatakan mereka turut akan maklumkan isu ini kepada pengeluar atau OEM Android yang lain.
Jika anda mahu mendapatkan laporan penuh daripada iVerify, anda boleh dapatkannya di sini.
[Sumber: Wired]
