Une découverte récente met en lumière une vulnérabilité importante affectant des millions de smartphones Google Pixel, conséquence d’une application préinstallée. Cette situation soulève des inquiétudes quant à la sécurité des utilisateurs, tout en incitant à réfléchir sur les répercussions pour Google et le paysage des smartphones.
Les experts ayant découvert la vulnérabilité estiment que des millions d’utilisateurs pourraient être concernés
Les experts en cybersécurité d’iVerify ont révélé une faille de sécurité présente dans des millions de dispositifs Google Pixel à travers le monde. La société a découvert une application préinstallée sur les téléphones lancés par Google depuis fin 2027, dont la configuration permettrait d’exécuter du code à distance sur l’appareil, ouvrant ainsi la porte à de possibles attaques.
L’application, installée dans le système sous le nom de paquet « Showcase.apk », ne peut pas être désinstallée facilement par l’utilisateur, et bien qu’il s’agisse d’une application désactivée par défaut, il est possible de l’activer en quelques étapes simples afin de tirer parti de la vulnérabilité présente dans son code.
Une application de l’opérateur Verizon, la responsable
Il a été découvert que l’application en question était utilisée par l’opérateur américain Verizon pour activer un « mode de démonstration » sur les dispositifs Pixel vendus dans ses stores physiques. Cependant, cette application n’est plus utilisée depuis des années, mais pour une raison quelconque, elle n’a jamais été retirée de l’ensemble des applications présentes sur les dispositifs Pixel. Et ce qui est pire : elle est installée même sur les Pixel qui ne sont pas vendus par l’opérateur.
L’absence de protection dans la conception de son système de connexion permet le téléchargement de fichiers de configuration via le protocole HTTP (non sécurisé). Grâce à des techniques d’injection de code, les attaquants pourraient exploiter cette vulnérabilité pour exécuter du code malveillant sur les dispositifs.
Étant donné que des millions de dispositifs à travers le monde sont potentiellement à risque d’être infectés par des logiciels malveillants exploitant cette vulnérabilité, iVerify a averti Google en mai dernier, des mois avant de rendre public sa découverte. Cependant, il n’y a pas de preuve que Google ait effectué des changements pour corriger la faille.
Google assure qu’il supprimera l’application… mais les conséquences se font déjà sentir
Dans un communiqué adressé à WIRED, un porte-parole de Google a confirmé que l’application affectée par la faille de sécurité n’est plus en usage, et qu’elle sera retirée de tous les dispositifs Pixel dans les semaines à venir via une mise à jour de sécurité.
Cependant, il se peut que cette erreur entraîne des conséquences négatives pour la grande société G : Palantir Technologies, l’une des plus grandes entreprises de logiciels et de services au monde, a confirmé qu’elle abandonnerait Android et commencerait à utiliser des iPhone dans son environnement professionnel, en raison du retard de Google à résoudre une faille qu’elle considère comme critique.