Google Pixel telefoni i bezbednosni propust
Većina Google Pixel telefona prodatih od septembra 2017. uključivala je softver koji bi se mogao koristiti za nadgledanje ili daljinsko upravljanje telefonima korisnika, prema novom izveštaju kompanije za sajber bezbednost iVerify.
Ranjivost je otkrivena nakon što je iVerify-ov skener za otkrivanje krajnje tačke i odgovor (EDR) označio nebezbedni Android uređaj u Palantir Technologies, iVerify klijentu. Nakon pokretanja zajedničke istrage, iVerify, Palantir i Trail of Bits otkrili su skriveni Android softverski paket — Shovcase.apk — na Google Pixel uređajima. Kompanija za rudarenje podataka Palantir, koja prodaje svoje proizvode za nadzor vladama i privatnim kompanijama, zabranila je Android uređaje širom kompanije kao odgovor.
„Ovo je bilo veoma štetno za poverenje, imati nebezbedni softver treće strane na njemu“, rekao je za Vašington post Dane Stuckey, glavni službenik za bezbednost informacija u Palantir-u. „Nemamo pojma kako je to dospelo tamo, pa smo doneli odluku da efektivno zabranimo Androide interno.
Prema izveštaju iVerify-a, softver je razvila kompanija pod nazivom Smith Micro Softvare i čini se da je kreiran za Verizon za demonstracije u prodavnici. Aplikacija je podrazumevano bila neaktivna i morala je biti ručno omogućena, otkrio je izveštaj iVerifi. „Kada je omogućen, Shovcase.apk čini operativni sistem dostupnim hakerima i zrelim za napade „čovek u sredini“, ubacivanje koda i špijunski softver“, navodi se u izveštaju. „Uticaj ove ranjivosti je značajan i može rezultirati gubitkom podataka u ukupnom iznosu od milijardi dolara.
U izjavi za The Verge, portparol Google Ed Fernandez rekao je da je softver napravljen „za demo uređaje Verizon u prodavnicama i da se više ne koristi“, dodajući da Google „nije video nikakve dokaze o aktivnoj eksploataciji“.
iVerify je rekao Google o svom izveštaju početkom maja, navodi Vired. Kompanija nije javno otkrila ranjivost, niti je objavila ažuriranje softvera kako bi uklonila problem. Wired je izvestio da će Android ukloniti aplikaciju sa svih Pixel uređaja „u narednim nedeljama“, što je Fernandez potvrdio za The Verge.
„To je zaista prilično zabrinjavajuće. Pixel treba da budu čisti“, rekao je za Post Stuckey iz Palantira. „Postoji gomila odbrambenih stvari izgrađenih na Pixel telefonima.“
Izvor: TheVerge