Une enquête récente a mis en lumière la présence d’une application cachée sur des millions de téléphones Android, principalement des Pixel, capable d’exposer les utilisateurs à des risques de cybersécurité. Ce phénomène soulève d’importantes questions sur la sécurité des appareils et les responsabilités des fabricants. Les détails de cette découverte alarmante méritent une attention particulière.
Déception : Des millions de téléphones Android, principalement des Pixel, ont été expédiés avec une application cachée qui pourrait permettre aux pirates de prendre le contrôle à distance ou d’espionner les utilisateurs. Les propriétaires de téléphones Pixel de 2017 et plus récents doivent surveiller une prochaine mise à jour de sécurité de Google.
Les chercheurs en cybersécurité d’iVerify ont découvert une application secrète appelée « Showcase.apk » qui présente une vulnérabilité qui pourrait permettre aux pirates d’accéder au téléphone par une porte dérobée. Ironiquement, ils ont découvert l’application défectueuse après que le scanner de détection et de réponse aux points de terminaison de l’entreprise a détecté un téléphone Android chez Palantir Technologies, une société d’analyse de données fournissant des services aux agences de renseignement. Palantir a été tellement alarmée que la direction a décidé de cesser de fournir des téléphones Android aux employés jusqu’à ce que Google règle le problème.
Showcase.apk n’est pas une application que les utilisateurs ordinaires connaissent. Elle est enfouie dans le firmware de certaines instances d’Android, y compris les versions Pixel remontant à septembre 2017. Smith Micro, une société qui fournit des outils d’accès à distance et de contrôle parental, a créé l’application pour aider les représentants commerciaux à présenter les fonctionnalités du téléphone dans des sites marchands comme Verizon. Bien que Smith Micro ait conçu l’application avec de bonnes intentions, elle contient une vulnérabilité qui peut être activée et exploitée à distance.
La cause principale du problème est que l’application tente de se connecter via une connexion HTTP non sécurisée plutôt que HTTPS, ce qui ouvre la porte à des attaques de type « man-in-the-middle » où les pirates peuvent intercepter le trafic. Pire encore, les utilisateurs ne peuvent pas désinstaller l’application car elle fait partie de l’image du firmware.
« On ne sait pas pourquoi Google installe une application tierce sur chaque appareil Pixel alors que seul un très petit nombre d’appareils aurait besoin de Showcase.apk », note iVerify.
L’entreprise de sécurité affirme avoir informé Google de cette vulnérabilité en mai, mais le géant de la technologie a tardé à fournir un correctif. Mercredi, Google a finalement déclaré au Washington Post qu’il supprimerait l’application douteuse des téléphones Pixel avec une mise à jour logicielle. Il a également déclaré qu’il informerait les partenaires constructeurs qui l’intégreraient à d’autres appareils Android.
Bien que Google ait déclaré à The Verge qu’il n’y avait aucune preuve que des pirates informatiques aient jamais abusé de la vulnérabilité dans la nature, les implications sont toujours assez effrayantes. Cependant, comme Google publiera bientôt un correctif, les utilisateurs doivent garder leurs téléphones à jour. On ne sait pas si la série Pixel 9 récemment lancée est toujours livrée avec cette application, mais étant donné que Google est conscient du problème, il se peut qu’il ait réglé la situation avant la sortie.