Vulnérabilité des téléphones Pixel : Un logiciel de maintenance à distance en cause
Des millions de téléphones Pixel ont été expédiés avec un logiciel de maintenance à distance, rendant ces appareils susceptibles d’être ciblés par des logiciels espions. Cependant, cette vulnérabilité ne peut être exploitée que si l’attaquant a un accès physique au téléphone, entre le mot de passe de l’utilisateur et sait comment activer ce logiciel, qui est normalement invisible et inactif, selon les déclarations de Google. Dans ces circonstances, un intrus pourrait également installer d’autres types de logiciels. Ce logiciel de maintenance aurait été installé à la demande de Verizon depuis le lancement des téléphones Pixel en 2017, utilisé par l’opérateur pour démontrer les appareils dans ses points de vente.
Incertitudes concernant d’autres appareils Android
Il reste flou si d’autres téléphones Android, en dehors des modèles Pixel, sont également concernés par cette vulnérabilité. À ce jour, aucune exploitation active n’a été signalée. La faille a été mise en lumière par le scanner « Endpoint Detection and Response » (EDR) d’iVerify sur le téléphone d’un client. En collaboration avec le client affecté, Palantir, et la société de sécurité Trail of Bits, iVerify a pu retracer cette vulnérabilité à un paquet logiciel Android caché. Bien que ce logiciel ne soit plus utilisé, il demeure présent dans les images des smartphones Pixel, comme l’a noté Dan Guido, PDG de Trail of Bits, sur X.
Présence persistante du logiciel dans les images de firmware
Les images de firmware pour les appareils Pixel peuvent encore être téléchargées depuis les serveurs officiels de Google, contenant le répertoire priv-app avec le Showcase.pkg mentionné dans product.img, comme l’a confirmé heise online en utilisant l’image Android 14.0 pour le Pixel 8a. Selon iVerify, une fois activée, l’application télécharge un fichier de configuration via une connexion non sécurisée, ce qui peut entraîner l’exécution de code au niveau du système. Ce fichier est récupéré depuis un domaine hébergé par AWS via HTTP non sécurisé, exposant ainsi la configuration et l’appareil à des codes malveillants, des logiciels espions et à l’effacement de données.
Un logiciel préinstallé mais inactif
Le paquet concerné est préinstallé dans le firmware des appareils Pixel. Par défaut, l’application n’est pas active, mais étant intégrée à l’image du firmware, des millions de téléphones pourraient potentiellement exécuter cette application au niveau système. Les utilisateurs ne peuvent pas désinstaller Showcase.apk eux-mêmes. Verizon a indiqué qu’une mise à jour pour supprimer ce logiciel inactif est en cours et sera mise à disposition pour « tous les fabricants OEM concernés ».
Réactions des développeurs de GrapheneOS
La publication des résultats a suscité des critiques de la part des développeurs de GrapheneOS, qui gèrent un système d’exploitation particulièrement sécurisé pour les appareils Pixel. Selon eux, il s’agit d’une campagne marketing pour une application de sécurité surestimée d’iVerify. Ils affirment que sans carte SIM Verizon, le système d’exploitation ne chargerait pas la configuration de l’opérateur et que les applications ne pourraient pas être exécutées. Le compte « GrapheneOS » sur Mastodon a qualifié l’application de « simple scanner statique d’APKs » et d' »application antivirus défaillante ». Des critiques ont également été formulées à l’encontre de Palantir, qualifiée de « société de surveillance de masse complice de violations flagrantes des droits de l’homme ». GrapheneOS a suggéré à Trail of Bits de réfléchir à leur partenariat avec Palantir dans la construction d’un État policier avec une surveillance omniprésente.
Origine du logiciel : Développé pour Verizon
D’après des rapports médiatiques, Showcase.apk provient de Smith Micro, une entreprise spécialisée dans les logiciels d’accès à distance, de contrôle parental et d’effacement de données. Google a déclaré à Forbes que « ce n’est ni une vulnérabilité de la plateforme Android ni des Pixel ». L’application a été développée pour une fonction de démonstration dans les magasins de l’opérateur américain Verizon, mais n’est plus utilisée. Pour activer l’application, un accès physique au dispositif et le mot de passe de l’utilisateur sont nécessaires.
Un porte-parole de Verizon a précisé que cette fonction n’est plus utilisée ni par l’opérateur ni par les consommateurs. Ni iVerify ni Verizon n’ont trouvé de preuves d’exploitation de cette vulnérabilité. Par mesure de précaution, la fonction de démonstration sera supprimée de tous les appareils.
Appel à la transparence
La découverte de Showcase.apk et d’incidents similaires souligne la nécessité d’une plus grande transparence et d’un débat autour des applications tierces intégrées au système d’exploitation. Ce problème n’est pas nouveau et ne se limite pas aux smartphones Pixel : en 2016, un utilisateur avait déjà signalé à Verizon la présence d’une « application de mode démonstration de magasin Verizon » sur son Samsung Galaxy Note 5.
