Android kullanıcıları için endişe verici yeni bir uyarı, Pixel cihazlarını küresel olarak etkileyen ciddi bir güvenlik açığının keşfedilmesinin ardından yayımlandı. Bu güvenlik açığı, milyonlarca cihazı Man-in-the-Middle (MITM) saldırılarına karşı savunmasız bırakarak, siber suçlulara kötü amaçlı kod ve tehlikeli casus yazılım enjekte etme yeteneği kazandırıyor.
Akıllı telefon güvenlik uzmanı iVerify, on milyonlarca Pixel cihazına önceden yüklenmiş Showcase uygulamasının bu güvenlik açığından etkilendiğini belirtti. Güvenlik açığı ilk olarak son derece güvenli bir ortam olan Palantir'deki bir cihazda işaretlendi. iVerify, "Uygulama sistem düzeyinde çalışıyor ve telefonun işletim sistemini temelden değiştirebiliyor. Uygulama paketi güvenli olmayan HTTP protokolleri üzerinden yüklendiğinden, bu durum bir arka kapı açıyor ve siber suçluların cihazı tehlikeye atmasını kolaylaştırıyor" şeklinde açıklama yaptı.
Palantir'in CISO'su Dane Stuckey, "Batı dünyasının en önemli kurumlarından bazılarını destekliyoruz" diyerek iVerify'a önemli bir ses kattı. Google'ın, Android'in donanım yazılımına üçüncü taraf yazılımları, bu uygulamaların kalitesini veya güvenliğini incelemeden yerleştirmesi, ekosisteme güvenen herkes için önemli bir güvenlik açığı yaratıyor. Şeffaflık eksikliği ve bu uygulamanın silinememesi konusundaki endişeler o kadar büyüktü ki, iVerify'ın kurucu ortağı ve COO'su Rocky Cole, "Her gün milyonlarca Android telefonun iş yerine girmesiyle şirket ortamları için ciddi etkileri olacaktır" şeklinde uyardı. Google, CISO'lara güvenli olmayan bloatware'i kabul etme veya Android'i tamamen yasaklama gibi zor bir seçenek sunuyor.
Herhangi bir güvenlik zayıflığı olan önceden yüklenmiş bir uygulama, iVerify'ın "bu güvenlik açığının aktif olarak istismar edildiğine dair kanıtımız olmadığını" kabul etmesine rağmen, gerçekleşmeyi bekleyen bir felakettir. Artan endişenin nedeni, uygulamanın "güvenli olmayan HTTP üzerinden bir yapılandırma dosyasını almak için tasarlanmış olması ve bu durumun arka kapı açabilecek sistem komutlarını veya modüllerini yürütmeyi ve cihazın güvenliğini tehlikeye atmayı kolaylaştırması"dır. Uygulamanın kendisi kötü amaçlı olmamakla birlikte, kötü bir şekilde oluşturulduğundan, "çoğu güvenlik teknolojisi bunu göz ardı edebilir. Ayrıca, uygulama sistem düzeyinde yüklendiğinden ve donanım yazılımı görüntüsünün bir parçası olduğundan, kullanıcı düzeyinde kaldırılamaz."
iVerify, Google'a 90 günlük açıklama sürecinin ardından ayrıntılı bir güvenlik açığı raporu gönderdiğini, ancak o sırada Google'ın olası riskleri azaltmak için bir yama yayınlayıp yayınlamayacağının veya yazılımı telefonlardan kaldırıp kaldırmayacağının belirsiz olduğunu belirtti. Aktif bir istismara dair hiçbir kanıt olmamasına rağmen Google, aşırı önlem almak amacıyla, bu uygulamanın yaklaşan bir Pixel yazılım güncellemesiyle tüm desteklenen Pixel cihazlarından kaldırılacağını açıkladı. Uygulama Pixel 9 serisi cihazlarda mevcut değil. iVerify'ın raporu Pixel'e odaklanmış olsa da Google, diğer Android OEM'lerini de bilgilendirdiğini söyledi.
Uygulamanın kökenleri açısından Google, "Bu bir Android platformu veya Pixel güvenlik açığı değil, Smith Micro tarafından Verizon mağaza içi demo cihazları için geliştirilen bir APK ve artık kullanılmıyor. Bu uygulamanın bir kullanıcı telefonunda kullanılması hem cihaza fiziksel erişim hem de kullanıcının parolasını gerektirir" şeklinde açıklama yaptı. Verizon ise, "Android cihazların mağaza içi demolarını etkinleştiren bir özelliğe özgü potansiyel bir güvenlik açığının farkındayız. Bu özellik artık Verizon tarafından mağazalarda kullanılmıyor ve tüketiciler tarafından da kullanılmıyor. Bunun herhangi bir şekilde kullanıldığına dair bir kanıt görmedik. Android OEM'leri, aşırı önlem almak amacıyla bu demo özelliğini desteklenen tüm cihazlardan kaldıracak" dedi.
Smith Micro'dan henüz bir açıklama gelmedi, ancak yorum için kendilerine başvuruldu. iVerify'ın raporunu tetikleyen belirli endişeler arasında yapılandırma dosyasının alınması sırasında kimlik doğrulamasının olmaması, dosyanın telefona yüklenmeden önce bütünlüğünün kontrol edilmemesi ve güvenli olmayan iletim yer alıyor; dolayısıyla MITM güvenlik açığı ortaya çıktı. iVerify'ın, "Google'ın neden her Pixel cihazına üçüncü taraf bir uygulama yüklediği sorusunun cevabı henüz belirsizliğini koruyor. Ancak bu endişenin, "güvenlik sorununu tespit etmeye yardımcı olan Palantir'in, önümüzdeki birkaç yıl içinde Android cihazlarını mobil filosundan çıkarıp tamamen Apple cihazlarına geçiş yapmayı tercih edecek kadar ciddi" olduğu söyleniyor.
Genel olarak, Google için Pixel lansman haftasının beklenenden daha zorlu bir sonu oldu.
