Le mois dernier, des chercheurs ont découvert une faille de sécurité qui affectait un « très grand pourcentage » de téléphones Pixel. Une mise à jour de Google, diffusée aujourd’hui, corrige cette vulnérabilité.
Il y a plusieurs semaines, la société de sécurité en ligne iVerify a publié un blog détaillant comment la grande majorité des téléphones Pixel livrés depuis 2017 contenait un logiciel appelé showcase.apk. Ce logiciel n’était pas destiné aux consommateurs, mais aux employés des magasins de l’opérateur de télécommunication américain Verizon pour montrer les fonctionnalités des téléphones Pixel.
Le problème était que showcase.apk a des privilèges système très élevés et peut même exécuter du code et installer des logiciels à distance. En théorie, quelqu’un de mal intentionné pourrait accéder au domaine Amazon Web Services qui alimente le logiciel et placer des logiciels malveillants ou espions sur le téléphone d’une personne qui ne se doute de rien.
Showcase.apk n’était pas activé par défaut
L’application étant préinstallée, les utilisateurs ne pouvaient pas la supprimer manuellement.
La mise à jour de sécurité publiée par Google supprime entièrement showcase.apk. Le billet de blog ne mentionne pas le nom de ce logiciel, se contentant d’indiquer qu’il existe un « correctif pour supprimer l’APK d’une tierce partie afin de remédier à la vulnérabilité en matière de sécurité ».
Lorsque iVerify a découvert l’exploit, Google a déclaré qu’il n’avoir aucune preuve que quelqu’un l’avait exploité. Le problème était cependant suffisamment grave pour que Palantir Technologies interdise l’utilisation des appareils Android.
Il est important de noter qu’iVerify a constaté que showcase.apk n’était pas activé par défaut. « Il pourrait y avoir plusieurs méthodes pour l’activer », explique le rapport, mais « l’équipe de recherche d’iVerify a étudié une méthode nécessitant un accès physique ».
Quels sont les Pixel touchés ?
Il est probable que cette faille aurait été assez difficile à exploiter pour quelqu’un de toute façon. Mais Google la supprime malgré tout.
La mise à jour s’applique aux smartphones :
- Pixel 6
- Pixel 6 Pro
- Pixel 6a
- Pixel 7
- Pixel 7 Pro
- Pixel 7a
- Pixel 8
- Pixel 8 Pro
- Pixel 8a
- Pixel Fold
- Pixel Tablet
L’application n’était pas préchargée sur la série Pixel 9.