L’entreprise de cybersécurité iVerify a récemment découvert une grave vulnérabilité qui affecte des millions de smartphones Pixel dans le monde et a publié ses conclusions dans un nouveau rapport.
Selon le document, le logiciel défectueux en question s’appelle Showcase.apk. Il a été initialement développé par l’entreprise Smith Micro Software pour les appareils de démonstration dans les magasins Verizon.
Grâce à ce logiciel, les vendeurs ont un accès complet aux nombreuses fonctionnalités d’un téléphone Pixel afin de « montrer comment elles fonctionnent » aux clients intéressés par le modèle présenté.
Normalement, Showcase est inactif et ne fait rien. Cependant, il est possible qu’un pirate l’active via une porte dérobée.
Ce que cette APK peut faire sur les téléphones Google
L’APK (Android Package Kit) récupère son fichier de configuration à partir d’un domaine non sécurisé sur Amazon Web Services. En théorie, un acteur malveillant pourrait intercepter ces connexions ou usurper l’identité du site web et injecter des logiciels malveillants ou des logiciels espions dans un téléphone Pixel. De plus, étant donné que Showcase dispose de « privilèges système excessifs », il est facile pour les cybercriminels de compromettre une cible.
Ce qui est particulièrement effrayant, c’est que Showcase fait partie de l’écosystème Google Pixel depuis septembre 2017. Pire, l’utilisateur moyen ne peut pas supprimer l’APK via le processus de désinstallation standard, car il est considéré comme une application de niveau système. iVerify affirme que « seul Google peut résoudre » ce problème.
Quelle que soit la gravité de la situation, il y a de bonnes nouvelles. Tout d’abord, il semble que personne, même les pirates informatiques, ne connaissait la faille. Un porte-parole de Google a déclaré au Washington Post qu’aucune attaque pouvant être liée à Showcase n’a été constatée.
Et ils ont affirmé qu’il n’y a pas de preuve d’une « exploitation active », suggérant même qu’une telle attaque serait « peu probable ».
Google est conscient du problème. Le géant technologique a déclaré à Forbes prende des mesures « par précaution » et prévoir de mettre en place une solution sur tous les « appareils Pixel compatibles sur le marché ». En ce qui concerne la série Pixel 9, pas d’inquiétude : aucun des quatre modèles ne dispose de Showcase.apk.
