تقرير يكشف وجود ثغرة أمنية فى هواتف جوجل بيكسل المباعة
ذكر تقرير جديد صادر عن شركة الأمن السيبرانى iVerify، أن معظم هواتف Google Pixel المباعة منذ سبتمبر 2017 تتضمن برامج يمكن استخدامها لمراقبة هواتف المستخدمين أو التحكم فيها عن بعد.
وتم اكتشاف الثغرة الأمنية بعد أن قام ماسح نقاط النهاية والاستجابة (EDR) الخاص بشركة iVerify بتمييز جهاز Android غير آمن فى Palantir Technologies، أحد عملاء iVerify.
وبعد إطلاق تحقيق مشترك، اكتشفت iVerify وPalantir وTrail of Bits حزمة برامج Android مخفية شو كيز دوت ايه بى كى عبر أجهزة Google Pixel، وقامت شركة Palantir لتعدين البيانات، التى تبيع منتجات المراقبة الخاصة بها للحكومات والشركات الخاصة، بحظر أجهزة Android عبر الشركة ردًا على ذلك.
وقال دان ستوكى، كبير مسؤولى أمن المعلومات فى شركة بالانتير، لصحيفة واشنطن بوست : ” كان هذا الأمر ضارًا جدًا بالثقة، أن يكون هناك برنامج غير آمن تابع لجهة خارجية، وليس لدينا أى فكرة عن كيفية وصوله إلى هناك، لذلك اتخذنا قرارًا بحظر أجهزة أندرويد داخليًا بشكل فعال”.
وبحسب تقرير iVerify، تم تطوير البرنامج بواسطة شركة تدعى Smith Micro Software ويبدو أنه تم إنشاؤه لشركة Verizon للعروض التوضيحية داخل المتجر، ووجد تقرير iVerify أن التطبيق غير نشط افتراضيًا وكان لا بد من تمكينه يدويًا.
وجاء فى التقرير: “عند تمكينه يجعل نظام التشغيل متاحًا للمتسللين وجاهزًا لهجمات الوسيط وحقن التعليمات البرمجية وبرامج التجسس، كما أن تأثير هذه الثغرة كبير وقد يؤدى إلى خروقات فقدان البيانات التى تصل قيمتها الإجمالية إلى مليارات الدولارات”.
وفى تصريح لموقع The Verge، قال المتحدث باسم شركة Google، إد فرنانديز، أن البرنامج تم إنشاؤه “لأجهزة العرض التوضيحية داخل متاجر Verizon ولم يعد قيد الاستخدام”، مضيفًا أن Google “لم تر أى دليل على أى استغلال نشط”.
وأبلغت شركة iVerify شركة جوجل بتقريرها فى أوائل شهر مايو، وفقًا لموقع Wired ولم تكشف الشركة علنًا عن الثغرة الأمنية، ولم تصدر تحديثًا للبرنامج لإزالة المشكلة.
وأفاد موقع Wired أن Android سيزيل التطبيق من جميع أجهزة Pixel “فى الأسابيع المقبلة”، وهو ما أكده فرنانديز لموقع The Verge.