Google har, under flera år, skickat med en mjukvara, avsedd för butiker, för att sätta Pixel-telefoner i ett demo-läge, i Android. En mjukvara som körs med omfattande rättigheter och som utgör ett synnerligen allvarligt säkerhetshål och som utan tvekan exponerar alla användare av Googles egen telefon, deras flaggskepp, för betydande säkerhetsrisker.
Frågan som följer av det som nu avslöjas är – hur är det överhuvudtaget ens möjligt?
Appen, “Showcase.apk”, är inte Googles egen mjukvara. Det är utvecklat för Verizons butiker och det har skickats med i alla Pixel-modellerna fram till nyligen lanserade Pixel 9.
Appen körs med stora, omfattande rättigheter:
- Vanliga användare ser inte programvaran och vet förmodligen inte ens att den finns installerad
- Kod kan köras fjärrstyrt
- Appar kan installeras fjärrstyrt
- Konfigurationsfiler kan överföras, okrypterat och installeras
- Mjukvaran används inte längre
Säkerhetsföretaget rapporterade detta till Google i början av maj – idag runt fyra månader senare så har sökjätten fortfarande inte släppt någon uppdatering och alltså inte heller åtgärdat ett synnerligen allvarligt säkerhetshål i sina flaggskeppsmodeller – Pixel.
Ska du nu som betraktare, utifrån, försöka att ge dig på en analys av vad som har hänt så är det svårt att veta var du ska börja för frågorna är många.
Varför skickar Google överhuvudtaget med ett demo-program i mjukvara som är avsedda för vanliga användare?
Det är på alla avgörande punkter ren och skär idioti och det strider mot i stort sett alla vettiga, normala säkerhetsföreskrifter. Du ska inte skicka med mjukvara som användare inte kommer att använda, inte har någon som helst nytta av och i synnerhet inte mjukvara som du inte har koll på – som utvecklas av dig själv, i huset.
Det är uppenbart för alla som kan aldrig så lite om säkerhet att all sådan mjukvara snabbt kan visa sig vara en säkerhetsrisk för användaren. Då användaren aldrig kommer att använda mjukvaran så är slutsatsen enkel – ta bort den och skicka inte ut den.
Har Google överhuvudtaget utvärderat vad denna mjukvara gör, hur programmet fungerar?
Svaret på den frågan måste bli ett nej, det har Google inte gjort. Du skickar aldrig ut ett program som kan missbrukas för att kapa en enhet, som kan leda till att enheten tas över av obehöriga och som dessutom kan göra det över en helt okrypterad uppkoppling.
Du kan naturligtvis skicka med en app för fjärrstyrning – men inte en dold app som kan göra det på det här sättet. Appar som kan användas för fjärrstyrning ska av nödvändighet vara försedda med extra säkerhet både vad gäller överföringen av data, hur du kan koppla upp dig och hur du loggar in. Här kan en enhet kapas genom att skicka en konfigurationsfil över HTTP – alltså inte ens krypterad HTTPS.
Varför skickas mjukvaran med i alla Pixel-modeller?
Den frågan är den mest obegripliga. Varför skickas ett demo-program, avsett för Verizon, med i telefoner som köps och används av helt vanliga användare?
Vanliga användare har ingen glädje av ett demo-program – speciellt inte ett program som kan leda till att obehöriga tar över deras telefon. Vill Verizon eller någon annan teleoperatör köra demo-program på Googles telefoner så får de installera den mjukvaran själva.
Varför har programmet fortsatt att skickas ut fast det inte används längre?
Här brister det på alla avgörande punkter.
Sunkig företagskultur
För mig som jobbat med data- och information säkerhet i många år så är slutsatsen att det handlar om en sunkig företagskultur med stora brister på i stort sett alla plan. Hela hanteringen är helt obegriplig, om det inte bottnar i att Google inte har haft en policy, en checklista, för hur saker ska skickas ut.
- Ska annan mjukvara än din egen skickas med så ska mjukvaran naturligtvis kontrolleras – noga.
- Du ska inte skicka ut mjukvara som användaren inte kommer att använda.
- Mjukvaran skickas ut fast den inte används längre
Finns det uppsatta regler, ett säkerhetsprotokoll, så har regelverket inte följts. Såna missar kan möjligen slinka igenom någon enstaka gång men inte under flera år. Då är slutsatsen att det inte finns några regler och att det inte görs några kontrollera överhuvudtaget av vad som skickas ut.
Vad mer?
Satt jag med en Pixel.-telefon i handen så skulle min första tanke vara – vad mer har Google missat?
Mina andra tanke skulle vara – om Google kan ställa till med det här – hur ska jag kunna lita på sökjätten i fortsättningen?
Det här är en blunder av monumentala mått och låt mig tillägga att det finns icke ett uns av skadeglädje i raderna ovan. Jag beklagar ärligt och uppriktigt att ett så stort företag, med sådana enorma resurser, och som på alla sätt borde veta bättre, och göra bättre, hanterar mjukvara som skickas ut till användare på ett så här nonchalant, slarvigt och ansvarslöst sätt.
En sak ska jag i alla fall medge att jag är glad över – att jag har och använder en iPhone.
0 kommentarer