Les experts en cybersécurité d’iVerify ont révélé une faille de sécurité présente dans des millions d’appareils Google Pixel à travers le monde. L’entreprise a découvert une application préinstallée sur les téléphones commercialisés par Google depuis fin 2017, dont la configuration permettrait d’exécuter du code à distance sur l’appareil, ouvrant ainsi la porte à des attaques potentielles.
L’application, installée sur le système sous le nom de “Showcase.apk“, ne peut pas être facilement désinstallée par l’utilisateur, et bien qu’il s’agisse d’une application désactivée par défaut, il est possible de l’activer en quelques étapes simples pour tirer parti de la vulnérabilité présente dans son code.
Une application de l’opérateur Verizon, le coupable
Showcase.apk est application utilisée par l’opérateur américain Verizon pour activer un “mode démo” sur les appareils Pixel vendus dans ses boutiques physiques. Or, l’appli n’a pas été utilisée depuis des années, mais pour une raison ou une autre, elle n’a jamais été supprimée de la suite d’apps sur les appareils Pixel. Pire encore, elle est installée même sur les Pixel non vendus par l’opérateur.
L’absence de protection dans la conception de son système de connexion permet de télécharger des fichiers de configuration via le protocole HTTP (non sécurisé). Grâce à des techniques d’injection de code, les attaquants peuvent exploiter la vulnérabilité pour exécuter un code malveillant sur les appareils.
Des millions d’appareils dans le monde risquant d’être infectés par des logiciels malveillants exploitant cette vulnérabilité, iVerify a alerté Google en mai dernier, plusieurs mois avant de rendre sa découverte publique. Toutefois, Google n’aurait pas apporté de modifications pour remédier à cette faille.
Google affirme qu’il va supprimer l’application… mais les conséquences se font déjà sentir
Dans une déclaration communiquée à WIRED, un porte-parole de Google a confirmé que l’app concernée par la faille de sécurité n’est plus utilisée, et qu’elle sera supprimée de tous les appareils Pixel dans les semaines à venir via une mise à jour de sécurité.
Cependant, ce bug pourrait avoir des conséquences négatives pour l’entreprise du grand G : Palantir Technologies, l’une des plus grandes sociétés de logiciels et de services au monde, a confirmé qu’elle abandonnerait Android et commencerait à utiliser l’iPhone dans son environnement d’entreprise, en raison du retard pris par Google pour corriger un bug qu’elle considère comme critique.
