Google Pixel 9 Pro XL à côté du Pixel 8 Pro : une comparaison captivante ! »>Vulnérabilité Critique Découverte dans les Applications Google Pixel

Une vulnérabilité significative a été identifiée dans une application préinstallée sur les appareils Google Pixel, touchant potentiellement des millions d’utilisateurs. Cette découverte a été réalisée par la société de cybersécurité iVerify, qui a publié un rapport détaillé à ce sujet.

Origine de la Vulnérabilité

Le problème réside dans une application Android préinstallée nommée Showcase.apk, développée par Smith Micro. Cette application est utilisée pour activer le mode démo sur les appareils destinés à l’affichage en magasin. Bien qu’elle n’ait pas été initialement intégrée au firmware Android, elle a été ajoutée à la demande de Verizon, un opérateur de téléphonie mobile.

Showcase.apk possède des privilèges système élevés, ce qui signifie que si elle est compromise, des acteurs malveillants pourraient l’utiliser pour exécuter des codes à distance ou installer des logiciels malveillants sur l’appareil. Toutefois, pour que cette application soit exploitée, un point d’entrée est nécessaire, fourni par la manière dont Showcase.apk communique avec son hôte.

« L’application télécharge un fichier de configuration via une connexion non sécurisée et peut être manipulée pour exécuter du code au niveau système » – rapport d’iVerify

En termes simples, l’application récupère son fichier de configuration depuis un domaine basé aux États-Unis, hébergé sur Amazon Web Services (AWS), via une connexion HTTP non sécurisée. Cette connexion vulnérable expose les fichiers en transit à des interceptions, mettant ainsi en danger l’appareil.

Google S’attaque au Problème

Cette vulnérabilité est présente dans de nombreux appareils expédiés depuis 2017, ce qui signifie que le nombre total d’utilisateurs à risque pourrait atteindre des millions. Cependant, la bonne nouvelle est qu’une solution est déjà en cours de développement.

  • Google a reconnu le problème et a annoncé qu’un correctif sera bientôt disponible pour tous les « appareils Pixel pris en charge sur le marché » dans quelques semaines.
  • Ce correctif n’inclut pas la série Pixel 9, car lors des tests, aucun des quatre modèles de cette série ne présentait cette vulnérabilité.
  • Verizon a également été informé de cette vulnérabilité. Bien qu’il n’utilise plus l’application et n’ait pas trouvé de preuves d’exploitation en cours, il a décidé de supprimer la fonction de tous les appareils qu’il prend en charge par mesure de précaution.
  • Enfin, Google a précisé que ce problème ne concerne pas uniquement les téléphones Pixel ou Android, mais qu’il est lié à Smith Micro.
  • Google a également décidé d’informer d’autres fabricants Android, car des appareils tiers pourraient également être affectés.

État Actuel de la Vulnérabilité

Pour l’instant, il n’y a aucune indication que la vulnérabilité ait été exploitée. Cela pourrait être dû au fait que les acteurs malveillants ne sont pas au courant de cette faille ou que l’application n’est pas activée par défaut.

Maintenant que l’information est publique, espérons que le correctif de Google sera déployé avant que des acteurs malveillants ne puissent tirer parti de cette vulnérabilité.

Tags:
Shares:
Show Comments (0)
Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *