Depuis 2017, la plupart des téléphones Google Pixel livrés avec un bloatware vulnérable, selon les chercheurs
La résolution du problème est prévue pour les prochaines semaines. Quelle sera votre réaction lorsque cette correction sera enfin mise en place?
- iVerify a découvert une vulnérabilité dans les smartphones Google Pixel.
- Un logiciel tiers, « Showcase.apk », est à l’origine du problème.
- Showcase ne peut pas être désinstallé par l’utilisateur et peut être exploité par des acteurs malveillants.
- Google prévoit de supprimer le logiciel de tous les appareils Pixel via une mise à jour logicielle.
Une faille de sécurité inquiétante sur les smartphones Google Pixel
Une récente enquête menée par la firme de sécurité mobile iVerify a dévoilé une vulnérabilité sur les smartphones Google Pixel. Cette faille provient d’un logiciel tiers, intitulé « Showcase.apk », ayant un accès profond au système et qui a été pré-installé sur une grande partie des appareils Pixel commercialisés depuis septembre 2017.
Le logiciel Showcase.apk en cause
Développé pour l’opérateur Verizon, le logiciel Showcase.apk a pour fonction de mettre les smartphones Pixel en mode démo lorsqu’ils sont exposés en magasin. Le problème réside dans le téléchargement par Showcase d’un fichier de configuration via une connexion web non cryptée. Cette particularité, associée à son accès profond au système, pourrait permettre à des acteurs malveillants d’exécuter du code à distance ou d’installer des applications sur l’appareil de l’utilisateur.
Une vulnérabilité difficile à contrer
Le point particulièrement alarmant de cette découverte est que Showcase ne peut pas être désinstallé par l’utilisateur. Bien qu’il ne soit pas activé par défaut, iVerify précise qu’il pourrait exister plusieurs méthodes pour activer le logiciel. iVerify a alerté Google de cette vulnérabilité en mai, mais à ce jour, aucune preuve confirmée de son exploitation n’a été rapportée.
La réponse de Google
Interrogé par le magazine Wired, un porte-parole de Google a déclaré que Showcase « n’est plus utilisé » par Verizon et que Google prévoit une mise à jour pour supprimer le logiciel de tous les appareils Pixel « dans les prochaines semaines ». De plus, le représentant de Google a affirmé que Showcase n’est pas présent dans la ligne de Google Pixel 9 annoncée lors de l’événement Made by Google cette semaine.
L’avis de la rédaction
Cette affaire souligne l’importance de la sécurité mobile dans notre société de plus en plus numérique. Google, en tant que géant technologique, se doit de prendre des mesures drastiques pour garantir la sécurité de ses utilisateurs. Nous saluons leur réactivité face à cette problématique et espérons que cette mise à jour corrigera effectivement cette faille majeure.