Mobil tehdit avcılığı firması iVerify’a göre, Pixel 2 ve sonraki Google telefonlarının çoğunda siber suçluların bir kullanıcıyı gözetlemek veya cihazlarını uzaktan kontrol etmek için kullanabileceği bir özellik bulunuyor.
iVerify bulgularını şu kişilerle paylaştı: Washington PostGoogle’ın Pixel telefonlar için hazırladığı ana yazılımın, Verizon satış ekibinin demolara yardımcı olmak için cihazlara derinlemesine erişim sağlamasını sağlayan bir özelliği içerdiğini bildiren bir haber sitesi.
Bu özelliğin güvenlik açıkları var. Bu gün yüzüne çıktıktan sonra Verify’ın uç nokta algılama ve yanıt (EDR) tarayıcısı, ABD ordusu için savunma yazılım çözümleri üreten iVerify istemcisi Palantir Technologies’de güvenli olmayan bir Android cihazı ortaya çıkardı.
Konu iVerify, Palantir ve Trail of Bits tarafından araştırıldığında, Google’ın Pixel cihazlarının yazılım üreticisi Smith Micro tarafından geliştirilen Showcase adlı gizli bir Android uygulaması içerdiği keşfedildi. Üçüncü taraf bir uygulama için rahatsız edici derecede yüksek bir ayrıcalık düzeyine sahip
iVerify araştırmacıları uygulamanın diğer Android cihazlarda da olabileceğinden şüpheleniyor.
Showcase, siber suçlular tarafından uzaktan etkinleştirilebilen, aksi takdirde uykuda olan bir uygulamadır. Ancak Google bunu reddediyor ve uygulamanın kötüye kullanılması için fiziksel mülkiyet ve kullanıcı şifresinin gerekeceğini söylüyor.
Showcase etkin olduğunda, güvenli olmayan bir web sitesinden talimatlar indirir. Bilgisayar korsanları iletilen verileri ele geçirebilir ve hatta bunun yerine kötü amaçlı casusluk talimatları gönderebilir.
Kullanıcılar tarafından telefonlardan silinemediğinden, milyonlarca Pixel cihazı aracı saldırılara karşı savunmasızdır.
Önlem amaçlı olarak, önümüzdeki Pixel yazılım güncellemesiyle bunu piyasadaki tüm desteklenen Pixel cihazlarından kaldıracağız.
Ed Fernandez, Google sözcüsü, Ağustos 2024
Mobil güvenlik, faaliyet gösterdiğimiz yer ve hizmet verdiğimiz kişiler göz önüne alındığında bizim için çok gerçek bir endişe. Üçüncü taraf, denetlenmemiş güvenli olmayan yazılımların üzerinde olması güvene çok zarar vericiydi. Oraya nasıl geldiğine dair hiçbir fikrimiz yok, bu yüzden Android’leri dahili olarak etkili bir şekilde yasaklama kararı aldık.
Dane Stuckey, Palantir CEO’su, Ağustos 2024