Dünyanın belirli bölgelerine akıllı telefon satışı gerçekleştiren Google, affedilemeyecek bir hataya imza attı. Android işletim sistemine sahip tüm telefonlar için güvenlik güncellemelerini de sağayan Google’ın, yıllarca kendi telefonlarını güvenlik açıklarıyla sattığı tespit edildi.
Bu açık, tanınmış siber güvenlik şirketi iVerify tarafından tespit edildi. Eylül 2017’den bu yana satılan Google Pixel telefonlarda, kullanıcıların cihazlarını gözetleyen veya uzaktan kontrol etmek için kullanılabilecek bir yazılım içerdiği ortaya çıktı.
KULLANICI VERİLERİ YILLARCA RİSK ALTINDA KALDI
Söz konusu güvenlik açığı, iVerify müşterisi olan Palantir Technologies'de güvensiz bir Android cihazı işaretlemesinin ardından keşfedildi. iVerify, ortak başlattığı bir soruşturmada Google Pixel telefonlarda gizli bir Android yazılım paketi (Showcase.apk) keşfetti. Gözetim ürünlerini hükümetlere ve özel şirketlere satan veri madenciliği firması Palantir, buna tepki olarak şirket çalışanlarına Android cihazları yasakladı.
The Verge’ün haberine göre Palantir'in baş bilgi güvenliği sorumlusu Dane Stuckey Washington Post'a verdiği demeçte, “Üçüncü parti, denetlenmemiş güvensiz bir yazılımın bu cihazlarda bulunması güven açısından çok zararlıydı. Oraya nasıl girdiği hakkında hiçbir fikrimiz yok, bu yüzden Android'leri dahili olarak etkin bir şekilde yasaklama kararı aldık.” dedi.
YAZILIM MANUEL OLARAK ETKİNLEŞTİRİLEBİLİYOR
iVerify raporuna göre bu uygulama varsayılan olarak etkin değildi ve manuel olarak etkinleştirilmesi gerekiyordu. Yine aynı raporda, “Etkinleştirildiğinde, Showcase.apk işletim sistemini bilgisayar korsanları için erişilebilir hale getiriyor ve ortadaki adam saldırıları, kod enjeksiyonu ve casus yazılımlar için olgunlaşıyor” deniyor. “Bu güvenlik açığının etkisi önemlidir ve milyarlarca dolarlık veri kaybı ihlallerine yol açabilir.”
Google sözcüsü Ed Fernandez, The Verge'e yaptığı açıklamada, yazılımın “Verizon mağaza içi demo cihazları için yapıldığını ve artık kullanılmadığını” söyledi ve Google'ın “herhangi bir aktif istismar kanıtı görmediğini” belirtti.
Öte yandan iVerify, mayı ayında Google’ın raporundan bahsederken, güvenlik açıklığını kamuoyuna açıklamadığını söyledi. Ancak Wired, yıllardır Pixel telefonlarda olan bu sorunun önümüzdeki hafta kaldırılacağını aktardı.