iVerify, société spécialisée dans la sécurité vient de publier une étude qui détaille comment « un très grand pourcentage » de téléphones Pixel livrés depuis 2017 utilisent une application avec une vulnérabilité qui les rend « sensibles aux attaques de type man-in-the-middle (MITM), donnant aux cybercriminels la possibilité d’injecter du code malveillant et des logiciels espions dangereux. »
Un problème lié à l’opérateur Verizon
La vulnérabilité en question est showcase.apk, un logiciel qui transforme un téléphone en appareil de démonstration pour les employés des magasins Verizon afin de montrer les caractéristiques des téléphones Pixel aux clients potentiels. Bien qu’il soit réservé aux employés de l’opérateur américain, le logiciel était présent sur presque tous les téléphones Pixel des 7 dernières années.
Le problème est que l’application s’exécute au niveau du système et dispose de privilèges étendus, allant jusqu’à l’installation de logiciels à distance et l’exécution de code.
L’application reçoit sa configuration d’un seul domaine Amazon Web Services non sécurisé, ce qui signifie que quelqu’un pourrait, en théorie, injecter des logiciels malveillants ou espions sur un téléphone par l’intermédiaire de ce domaine.
Pas d’exploitation active, assure Google
Étant donné que l’application est préinstallée dans le micrologiciel Pixel, les utilisateurs ne peuvent pas la supprimer en suivant les procédures habituelles. L’application n’est pas activée par défaut. iVerify a déclaré qu’il pourrait y avoir plusieurs façons de l’activer, mais lors de ses tests, elle a dû être activée manuellement.
Google affirme qu’il n’y a pas lieu de s’inquiéter. S’adressant au Washington Post à ce sujet, un représentant de l’entreprise a déclaré que les employés de Verizon n’utilisent plus l’application et qu’elle n’est pas présente sur la nouvelle série Pixel 9. Il a également déclaré que Google n’avait aucune preuve que quelqu’un ait tiré parti de cet exploit.
Néanmoins, le géant californien préfère jouer la prudence et va supprimer l’application lors de la prochaine mise à jour des Pixel.