Les experts en sécurité viennent de découvrir une énorme faille dans les téléphones Google Pixel

Hibou Gourou

Google corrige une grave vulnérabilité au niveau du micrologiciel qui est présente sur des millions de smartphones Pixel vendus dans le monde depuis 2017. « Par mesure de précaution, nous supprimerons cela de tous les appareils Pixel pris en charge sur le marché avec une prochaine mise à jour du logiciel Pixel. ", a déclaré la société au Washington Post .

Le problème principal est un package d'application appelé Showcase.apk, qui est un élément du micrologiciel Android qui a accès à plusieurs privilèges système. Habituellement, un utilisateur moyen de smartphone ne peut pas l'activer ou interagir directement avec celui-ci, mais les recherches d'iVerify ont prouvé qu'un mauvais acteur peut l'exploiter pour infliger de graves dommages.

"La vulnérabilité rend le système d'exploitation accessible aux cybercriminels pour perpétrer des attaques de l'homme du milieu, des injections de logiciels malveillants et des installations de logiciels espions", selon la société. La société de sécurité a révélé que la faille ouvre la porte à l’exécution de code à distance et à l’installation de packages à distance.

Cela signifie qu’un acteur malveillant peut installer des logiciels malveillants sur un appareil cible sans y avoir accès physiquement. Les cybercriminels peuvent ensuite lancer diverses formes d'attaques en fonction du logiciel malveillant injecté, notamment le vol de données sensibles ou la prise de contrôle du système.

Le principal problème est que Showcase.apk télécharge les ressources de configuration via une connexion HTTP non sécurisée, ce qui le rend vulnérable aux acteurs malveillants. Ce qui le rend plus effrayant, c'est que les utilisateurs ne peuvent pas le désinstaller directement, comme ils peuvent supprimer d'autres applications stockées sur leur téléphone.

Un problème très Pixel

L'écran du Google Pixel 8a.
Andy Boxall / Tendances numériques

Alors, comment le Google Pixel prend-il en compte toute la séquence, et pas tous les téléphones Android de la planète ? Eh bien, le package Showcase.apk est préinstallé dans le micrologiciel Pixel et constitue également un composant essentiel des images OTA que Google publie publiquement pour l'installation des mises à jour logicielles, en particulier au début du processus de développement.

iVerify note qu'il existe plusieurs façons pour un pirate informatique d'activer le package, même s'il n'est pas actif par défaut. Google pourrait faire face à de sérieuses difficultés suite à ces révélations pour plusieurs raisons.

Premièrement, iVerify affirme avoir informé Google de sa découverte alarmante 90 jours avant de la rendre publique, mais Google n'a pas fourni de mise à jour sur le moment où il corrigerait la faille, laissant ainsi en danger des millions d'appareils Pixel vendus dans le monde. Deuxièmement, l'un des appareils signalés comme non sécurisés était activement utilisé chez Palantir Technologies, une société d'analyse qui a récemment remporté un contrat d'une valeur d'environ un demi-milliard de dollars auprès du ministère américain de la Défense pour fabriquer des systèmes de vision par ordinateur pour l'armée américaine.

Le Google Pink 9 dans sa couleur rose.
Joe Maring / Tendances numériques

Maintenant, juste par souci de clarté, ce n'est pas Showcase.apk lui-même qui pose problème. C'est la façon dont il télécharge les fichiers de configuration via une connexion HTTP non sécurisée qui était considérée comme une invitation ouverte aux pirates informatiques à fouiner. Pour vous donner une idée de la menace, le navigateur Chrome de Google avertit les utilisateurs chaque fois qu'ils visitent un site Web utilisant l'ancien protocole HTTP. au lieu de l'architecture HTTPS plus sûre.

Après avoir publié cette histoire, un porte-parole de Google a envoyé la déclaration suivante à Digital Trends pour obtenir des éclaircissements supplémentaires sur l'ensemble de la situation :

« Il ne s'agit pas d'une plate-forme Android ni d'une vulnérabilité Pixel, il s'agit d'un apk développé par Smith Micro pour les appareils de démonstration en magasin Verizon et n'est plus utilisé. L'exploitation de cette application sur le téléphone d'un utilisateur nécessite à la fois un accès physique à l'appareil et le mot de passe de l'utilisateur. Nous n’avons vu aucune preuve d’une quelconque exploitation active. Par mesure de précaution, nous supprimerons cela de tous les appareils Pixel pris en charge sur le marché avec une prochaine mise à jour du logiciel Pixel. L'application n'est pas présente sur les appareils de la série Pixel 9. Nous informons également d’autres OEM Android.

C'est sérieux

Le Google Pixel 9 Pro XL à côté du Google Pixel 8 Pro.
Ajay Kumar / Tendances numériques

Quel que soit le véhicule de menace, ce qui pourrait causer des problèmes à Google, c'est que les smartphones Pixel à risque étaient activement utilisés par un sous-traitant de la défense, ce qui pourrait théoriquement mettre en danger la sécurité nationale. Il n'est pas difficile d'imaginer pourquoi.

Il suffit de voir comment TikTok a été interdit aux employés fédéraux dans plusieurs États, invoquant des problèmes de sécurité nationale similaires. « C'est vraiment très troublant. Les pixels sont censés être propres. Il existe de nombreux éléments de défense construits sur les téléphones Pixel », a déclaré au Post Dane Stuckey, responsable de la sécurité de l'information chez Palantir.

L'application a été créée par Smith Micro pour le géant des télécommunications Verizon afin de mettre les téléphones en mode démo pour les magasins de détail. De plus, comme l’application elle-même ne contient aucun code malveillant, il est presque impossible pour les applications ou logiciels antivirus de la signaler comme telle. Google, quant à lui, affirme que l'exploitation de la faille nécessiterait un accès physique et la connaissance du code d'accès du téléphone.

Cependant, iVerify a également soulevé des questions sur la présence généralisée de l'application. Lorsqu'il a été développé pour des unités de démonstration à la demande de Verizon, pourquoi le package faisait-il partie du micrologiciel Pixel sur les appareils, et pas seulement sur ceux destinés à l'inventaire de l'opérateur ?

À la suite de l'audit de sécurité, Palantir a effectivement supprimé tous les appareils Android de sa flotte et est passé exclusivement aux iPhones, une transition qui s'achèvera au cours des prochaines années. Heureusement, il n’y a aucune preuve que la vulnérabilité Showcase.apk ait été exploitée par de mauvais acteurs.