Votre Pixel a une vulnérabilité de sécurité dangereuse dans son firmware
Moins de 48 heures après que Google a présenté la gamme Pixel 9 au monde, une nouvelle est venue mettre un bémol aux célébrations de l'entreprise : depuis 2017, les Pixel sont expédiés avec une vulnérabilité de sécurité majeure intégrée dans leur firmware, et qui ne peut être supprimée ou corrigée par l'utilisateur.
La nouvelle vient d'iVerify, une société autoproclamée de "chasse aux vulnérabilités mobiles", et de Palantir Technologies, une société de logiciels d'analyse de données. iVerify a annoncé la découverte de la vulnérabilité dans un billet de blog publié jeudi, mettant en garde contre ce flaw de sécurité qui met en danger les Android sur les téléphones Pixel face aux attaques de l'homme du milieu, ainsi qu'à l'installation de logiciels malveillants et d'espionnage.
Comment fonctionne cette vulnérabilité
La vulnérabilité provient du package d'application Showcase.apk sur Android, qui est installé sur "un très grand pourcentage" de téléphones Pixel. (iVerify ne donne pas de chiffre exact, mais affirme que "des millions" de dispositifs Pixel sont touchés.) Showcase.apk fonctionne dans un "contexte très privilégié", ce qui signifie qu'il a des permissions qui lui permettent d'affecter le système d'exploitation de votre téléphone. Cela inclut la possibilité d'exécuter du code à distance et d'installer des paquets à distance, ce qui permet aux acteurs tiers d'exécuter leur propre code ou d'installer leurs propres programmes sur le dispositif.
Bien que cela permette potentiellement à des acteurs malveillants de prendre le contrôle de votre téléphone, ils ont besoin d'un point d'entrée d'abord. Cela vient de la façon dont Showcase.apk communique avec son hôte : le package est conçu pour télécharger des fichiers via une connexion HTTP non sécurisée, que des acteurs malveillants pourraient exploiter pour accéder à votre Pixel. En théorie, cela pourrait permettre aux acteurs malveillants d'injecter des logiciels malveillants et d'espionnage sur votre Pixel et de manipuler le système d'exploitation à leur guise.
Avant que la communauté Pixel ne panique collectivement, il n'y a pas de signalements indiquant que la vulnérabilité est actuellement exploitée activement. iVerify indique que Showcase.apk n'est pas activé par défaut et nécessite une intervention manuelle pour être activé. iVerify a réussi à activer le package d'application, mais refuse de révéler comment ils l'ont fait. Bien qu'il semble probable que vous ayez besoin d'un accès physique au téléphone pour le faire, des utilisateurs malveillants pourraient potentiellement activer Showcase.apk à distance.
D'où vient ceci ?
Pourquoi un tel package d'application se trouve-t-il sur tant de téléphones Pixel au départ ? iVerify indique que Showcase.apk a été développé par Smith Micro, qui crée des packages d'applications pour les contrôles parentaux, les outils d'accès à distance et les programmes de suppression de données. iVerify affirme que Smith Micro a développé Showcase.apk en tant que programme pour Verizon pour transformer les téléphones en unités de démonstration lorsqu'ils sont affichés en magasin. Si vous avez déjà utilisé un smartphone dans un magasin comme Verizon, vous savez que l'Android qui fonctionne sur ce téléphone est différent de celui d'un dispositif personnel : c'est ce que des programmes comme Showcase.apk permettent de réaliser.
C'est très bien pour les unités en magasin, mais il est incertain que le package .apk ait trouvé son chemin vers tous ces dispositifs Pixel personnels. Il n'y a manifestement aucune raison pour que votre Pixel ait un outil pour activer le "mode démonstration", ni que le programme ait des privilèges système aussi élevés. Cette combinaison met des millions d'utilisateurs inutilement en danger.
En fait, Palantir indique qu'ils abandonnent l'utilisation de leurs dispositifs Pixel suite à cet incident et qu'ils passeront à des appareils Apple au cours des prochaines années. Cependant, iVerify a déclaré à Wired qu'il est possible que d'autres appareils Android soient touchés, et ils ont depuis contacté d'autres fabricants d'Android pour les alerter sur le problème.
Que pouvez-vous faire ?
Malheureusement, il n'y a pas grand-chose que vous puissiez faire pour vous débarrasser de Showcase.apk, à moins d'acheter un iPhone. iVerify indique que ce package est intégré dans le firmware du Pixel et fait partie de la version d'Android que vous téléchargez directement à partir de Google. iVerify a signalé le problème à Google en mai, et Google a déclaré à Wired qu'une mise à jour logicielle était en cours de préparation pour supprimer Showcase.apk des téléphones Pixel "dans les semaines à venir". Espérons que si d'autres téléphones Android ont le package d'application, cette mise à jour sera disponible pour eux également. Google a également confirmé qu'aucun téléphone de la gamme Pixel 9 ne contient le package d'application. Mais pour l'instant, Showcase.apk reste sur votre Pixel jusqu'à ce que cette mise à jour soit disponible.