Miliona Google Pixels janë dërguar me të meta të mëdha sigurie
Shumica e telefonave Google Pixel të shitur që nga shtatori 2017 përfshinin softuer që mund të përdoret për të vëzhguar ose kontrolluar nga distanca telefonat e përdoruesve, sipas një raporti të ri nga kompania e sigurisë kibernetike iVerify.
Dobësia u zbulua pasi skaneri i zbulimit dhe përgjigjes së pikës fundore të iVerify (EDR) shënoi një pajisje të pasigurt Android në Palantir Technologies, një klient iVerify. Pas nisjes së një hetimi të përbashkët, iVerify, Palantir dhe Trail of Bits zbuluan një paketë të fshehur softueri Android – Showcase.apk – nëpër pajisjet Google Pixel. Firma e minierave të të dhënave Palantir, e cila u shet produktet e saj të mbikëqyrjes qeverive dhe kompanive private, ndaloi pajisjet Android në të gjithë kompaninë si përgjigje.
“Kjo ishte shumë e dëmshme për besimin, të kesh softuer të pasigurt të palëve të treta, të pa verifikuara në të,” tha Dane Stuckey, shefi i sigurisë së informacionit në Palantir, për The Washington Post. “Ne nuk e kemi idenë se si arriti atje, kështu që morëm vendimin për të ndaluar efektivisht Android-et brenda vendit.”
Sipas raportit të iVerify, softueri u zhvillua nga një kompani e quajtur Smith Micro Software dhe duket se është krijuar për Verizon për demonstrime në dyqan. Aplikacioni ishte joaktiv si parazgjedhje dhe duhej të aktivizohej manualisht, u gjet raporti iVerify. “Kur aktivizohet, Showcase.apk e bën sistemin operativ të aksesueshëm për hakerat dhe të pjekur për sulme nga njeriu në mes, injektimin e kodit dhe softuerin spiun”, thuhet në raport. “Ndikimi i kësaj dobësie është i rëndësishëm dhe mund të rezultojë në shkelje të humbjes së të dhënave që arrijnë në miliarda dollarë.”
Në një deklaratë për Shkence.info, zëdhënësi i Google, Ed Fernandez tha se softueri është bërë “për pajisjet demo të dyqaneve Verizon dhe nuk po përdoret më”, duke shtuar se Google “nuk ka parë asnjë provë të ndonjë shfrytëzimi aktiv”.
iVerify i tha Google për raportin e tij në fillim të majit, sipas Wired. Kompania nuk e kishte zbuluar publikisht cenueshmërinë, as nuk ka lëshuar një përditësim softuerësh për të hequr problemin. Wired raportoi se Android do të hiqte aplikacionin nga të gjitha pajisjet Pixel “në javët e ardhshme”, gjë që Fernandez e konfirmoi për Shkence.info.
“Është vërtet mjaft shqetësuese. Pixelët janë menduar të jenë të pastër, “tha Stuckey, nga Palantir, për Post. “Ka një mori gjërash mbrojtëse të ndërtuara në telefonat Pixel.”