Google baru saja meluncurkan deretan ponsel Pixel terbaru minggu ini, tetapi di balik sorotan peluncuran tersebut, terdapat masalah keamanan serius yang mengancam. Menurut firma keamanan iVerify, Google telah mengemas aplikasi berisiko dengan setiap ponsel Pixel sejak 2017, dan solusi permanen baru akan tersedia dalam beberapa minggu mendatang. Namun, jika ponsel Pixel kamu sudah diperbarui, kemungkinan besar kamu tidak akan terpengaruh.
Aplikasi yang dimaksud adalah Showcase.apk—aplikasi yang tidak pernah digunakan kecuali jika kamu bekerja di Verizon antara 2017 hingga 2023. Diciptakan oleh Smith Micro, aplikasi ini memungkinkan pengecer Verizon untuk mengatur ponsel dalam mode demo. Google mengintegrasikan aplikasi ini ke dalam firmware Pixel, meskipun aplikasi ini sebenarnya tidak terbatas pada ponsel yang dijual Verizon. iVerify mengklaim bahwa setiap versi firmware Pixel sejak September 2017 menyertakan Showcase.apk.
Peneliti keamanan menggambarkan aplikasi ini sebagai “kacau” dan buruk dalam desainnya. Meskipun demikian, Google menanamkan aplikasi ini pada level rendah di firmware Pixel, memberikan hak akses sistem yang berbahaya. Showcase.apk dirancang untuk mengunduh file konfigurasi melalui koneksi HTTP yang tidak terenkripsi, memungkinkan penyerang jarak jauh untuk mengakses perangkat dan mengeksekusi kode jarak jauh.
Masalah ini dilaporkan kepada Google pada bulan Mei, tetapi iVerify berpendapat Google belum cukup cepat untuk memperbaikinya. Google berencana merilis pembaruan Pixel yang tidak akan menyertakan Showcase.apk, dan Pixel 9 yang terbaru tidak menyertakan aplikasi ini. Meskipun tampaknya buruk, sejauh ini tidak ada perangkat yang terkompromi oleh Showcase.apk. Aplikasi ini dinonaktifkan pada level firmware pada semua build Android terbaru untuk ponsel Pixel.
Meskipun mungkin aplikasi ini bisa digunakan untuk menyerang ponsel Pixel, prosesnya tidak sederhana dan risiko akan hilang setelah pembaruan Pixel berikutnya dirilis. Peneliti keamanan iVerify kemungkinan merupakan pihak pertama yang menyadari dampak dari aplikasi Showcase, dan Google tidak memiliki bukti bahwa aplikasi ini telah digunakan secara berbahaya.