Technologie
Si vous possédez un téléphone Pixel, il est crucial de prendre connaissance d’une vulnérabilité récemment identifiée.
La société de sécurité iVerify a publié un article de blog détaillant que « une proportion très élevée » des téléphones Pixel expédiés depuis 2017 contiennent une application vulnérable, les rendant « susceptibles aux attaques de type homme du milieu (MITM), permettant aux cybercriminels d’injecter du code malveillant et des logiciels espions dangereux. »
À lire également : Comment détecter et supprimer les logiciels espions de votre téléphone
La vulnérabilité en question concerne showcase.apk, un paquet logiciel qui transforme un téléphone en appareil de démonstration pour les employés des magasins Verizon, leur permettant de présenter les fonctionnalités des téléphones Pixel aux clients potentiels. Bien que conçu uniquement pour les employés de Verizon, ce logiciel a été présent sur presque tous les téléphones Pixel au cours des sept dernières années.
Le problème réside dans le fait que l’application fonctionne au niveau système et possède des privilèges système étendus, y compris l’installation de logiciels à distance et l’exécution de code (ce qui, selon iVerify, n’est même pas nécessaire pour son utilisation prévue).
Cette application reçoit sa configuration d’un unique domaine Amazon Web Services non sécurisé, ce qui signifie qu’en théorie, quelqu’un pourrait potentiellement introduire des logiciels malveillants ou espions sur un téléphone via ce domaine.
Étant donné qu’il s’agit d’un firmware préinstallé sur les Pixel, les utilisateurs ne peuvent pas le supprimer par des méthodes standards. L’application n’est pas activée par défaut. iVerify a mentionné qu’il pourrait y avoir plusieurs façons de l’activer, mais lors de ses tests, elle a dû être activée manuellement.
À lire également : Votre numéro de sécurité sociale a-t-il été divulgué sur le dark web ? Voici les premières étapes à suivre
Google a déclaré qu’il n’y avait pas lieu de s’inquiéter. Dans une déclaration au Washington Post, un représentant de l’entreprise a affirmé que les employés de Verizon n’utilisent plus l’application et qu’elle n’est pas présente sur la nouvelle série Pixel 9. Il a également précisé que Google n’avait aucune preuve d’une exploitation de cette vulnérabilité.
Bien qu’il n’existe aucune preuve que cette vulnérabilité ait été exploitée, iVerify souligne que c’est un problème suffisamment sérieux pour que Palantir Technologies, la société qui a aidé à identifier cette faille de sécurité, retire les appareils Android de sa flotte mobile et passe entièrement aux appareils Apple dans les prochaines années.
À la une
Normes éditoriales
