Google’ın amiral gemisi Pixel akıllı telefon serisi, yedi yıl boyunca garantili yazılım güncellemeleri sunarak ve üçüncü taraf eklentileri ve gereksiz yazılımlardan arınmış olması gereken stok Android çalıştırarak güvenliği temel bir özellik olarak öne çıkarıyor. Ancak, Perşembe günü, mobil cihaz güvenlik firması iVerify’dan araştırmacılar, Eylül 2017’den bu yana Pixel için her Android sürümünde mevcut gibi görünen ve cihazları manipülasyona ve ele geçirmeye maruz bırakabilecek bir Android güvenlik açığıyla ilgili bulguları yayınlıyor.
Sorun, sistem düzeyinde çalışan ve kullanıcılar için görünmez bir şekilde gizlenen “Showcase.apk” adlı bir yazılım paketiyle ilgilidir. Uygulama, telefonları perakende mağaza demo moduna sokmak için bir mekanizma olarak Verizon için kurumsal yazılım şirketi Smith Micro tarafından geliştirilmiştir; Google yazılımı değildir. Yine de yıllardır Pixel için her Android sürümünde yer almaktadır ve uzaktan kod yürütme ve uzaktan yazılım yükleme dahil olmak üzere derin sistem ayrıcalıklarına sahiptir. Daha da riskli olanı, uygulama, iVerify araştırmacılarının bir saldırgan tarafından ele geçirilerek uygulamanın ve ardından tüm kurban cihazın kontrolünün ele geçirilebileceğini söylediği şifrelenmemiş bir HTTP web bağlantısı üzerinden bir yapılandırma dosyasını indirmek üzere tasarlanmıştır.
iVerify bulgularını Mayıs ayının başında Google’a açıkladı ve teknoloji devi henüz sorun için bir düzeltme yayınlamadı. Google sözcüsü Ed Fernandez, WIRED’a yaptığı açıklamada, Showcase’in Verizon tarafından “artık kullanılmadığını” ve Android’in “önümüzdeki haftalarda” bir yazılım güncellemesiyle Showcase’i desteklenen tüm Pixel cihazlarından kaldıracağını söyledi. Google’ın etkin bir istismara dair kanıt görmediğini ve uygulamanın Google’ın bu hafta duyurduğu yeni Pixel 9 serisi cihazlarda bulunmadığını da sözlerine ekledi. Verizon ve Smith Micro, yayın öncesinde WIRED’ın yorum taleplerine yanıt vermedi.
iVerify’ın baş işletme görevlisi ve eski ABD Ulusal Güvenlik Ajansı analisti Rocky Cole, “Birçok Android güvenlik açığı gördüm ve bu birkaç açıdan benzersiz ve oldukça rahatsız edici,” diyor. “Showcase.apk çalıştığında, telefonu ele geçirme yeteneğine sahip. Ancak kod, açıkçası, kalitesiz. İşletim sisteminin derinliklerinde bu kadar yüksek ayrıcalıklarla çalışan üçüncü taraf yazılımların neden daha derinlemesine test edilmediği konusunda sorular ortaya çıkarıyor. Bana öyle geliyor ki Google, dünyanın dört bir yanındaki Pixel cihazlarına bloatware gönderiyor.”
iVerify araştırmacıları, şirketin tehdit algılama tarayıcısının bir kullanıcının cihazında alışılmadık bir Google Play Store uygulama doğrulaması işaretlemesinin ardından uygulamayı keşfetti. Müşteri, büyük veri analitiği şirketi Palantir, Showcase.apk’yi araştırmak ve bulguları Google’a açıklamak için iVerify ile birlikte çalıştı. Palantir baş bilgi güvenliği sorumlusu Dane Stuckey, keşfin ve Google’ın yavaş, belirsiz tepkisi olarak tanımladığı şeyin Palantir’i yalnızca Pixel telefonları değil, şirket genelindeki tüm Android cihazları aşamalı olarak kullanımdan kaldırmaya yönelttiğini söylüyor.
Stuckey, WIRED’a verdiği demeçte, “Google’ın Android’in donanım yazılımına üçüncü taraf yazılım yerleştirmesi ve bunu satıcılara veya kullanıcılara açıklamaması, bu ekosisteme güvenen herkes için önemli bir güvenlik açığı yaratıyor” dedi. Standart 90 günlük açıklama penceresi boyunca Google ile etkileşimlerinin “ekosisteme olan güvenimizi ciddi şekilde aşındırdığını” ekledi. Müşterilerimizi korumak için, kuruluşumuzda Android’den uzaklaşmak gibi zor bir karar almak zorunda kaldık.”