Une vulnérabilité de sécurité majeure affecte un grand nombre de dispositifs Pixel, selon des experts en cybersécurité. Cette faille, liée à une application spécifique, pourrait permettre aux hackers d’accéder aux appareils et d’injecter des logiciels malveillants. Une mise à jour est attendue pour remédier à cette situation préoccupante.
Une « très grande proportion d’appareils Pixel » vendus dans le monde depuis septembre 2017 présente une faille de sécurité grave. Cela concerne l’application « Showkase.apk », qui permet potentiellement aux hackers d’installer des malwares, détectée par la société de cybersécurité iVerify.
L’application Showcase.apk a été développée par Smith Micro et a été conçue pour démontrer les capacités des Pixel et d’autres appareils Android sur les sites marchands Verizon. iVerify a d’abord signalé le dispositif en lien avec des solutions logicielles et le fournisseur d’analyse de big data Palantir Technologies, ce qui a conduit à une enquête.
Celle-ci a révélé que l’application Showcase.apk, qui fait partie du firmware, ne peut pas être retirée du téléphone par un utilisateur. Elle télécharge un fichier de configuration via HTTP, qui n’est donc pas sécurisé, à partir d’un site hébergé sur Amazon Web Services.
Ce fichier permet à l’application d’exécuter des commandes ou des modules système qui peuvent ouvrir une porte dérobée, facilitant ainsi la compromission du dispositif. La vulnérabilité de l’application rend des millions d’appareils Android Pixel exposés à des attaques de type man-in-the-middle, permettant aux criminels d’injecter du code malveillant et des spywares dangereux.
iVerify découvre une grave vulnérabilité Android affectant des millions d’appareils dans le monde entier. La vulnérabilité rend des millions d’appareils sensibles aux attaques man-in-the-middle (MITM) et à d’autres malwares et spywares dangereux. https://t.co/vwHRFIHAZR pic.twitter.com/qyfvIgVtAP
— ierify (@IsMyPhoneHacked) 15 août 2024
iVerify a contacté Google au sujet de la vulnérabilité il y a 90 jours, mais le problème n’a pas été résolu. Cependant, cette semaine, Google a répondu, indiquant qu’elle allait lancer une mise à jour pour retirer l’application et évaluer le comportement d’autres équipements Android.
Selon la société, cette application peut être exploitée sur le téléphone de l’utilisateur uniquement avec un accès physique au dispositif et au mot de passe de l’utilisateur. Elle a également affirmé qu’il n’y avait actuellement aucune nouvelle d’attaques exploitant cette vulnérabilité.
iVerify affirme que la vulnérabilité pourrait avoir un impact significatif, entraînant des violations et des pertes de données affectant des millions d’utilisateurs. Comme cette application n’est pas intrinsèquement malveillante, la plupart des technologies de sécurité peuvent l’ignorer et ne pas la signaler comme vulnérable.