La société de sécurité pour téléphones mobiles iVerify a découvert une vulnérabilité dans les smartphones Google Pixel. Selon iVerify, un logiciel tiers avec un accès profond au système est à l’origine de la faille, et il est inquiétant qu’il soit livré avec « un très grand pourcentage d’appareils Pixel […] depuis septembre 2017. »
Le problème concerne « Showcase.apk », un logiciel conçu pour Verizon et utilisé pour mettre les appareils Pixel en mode démo lorsqu’ils sont exposés dans les magasins de détail. Le logiciel télécharge un fichier de configuration via une connexion Web non chiffrée, ce qui, en raison de l’accès profond de Showcase, peut permettre à des acteurs malveillants d’exécuter du code à distance ou d’installer un package à distance sur l’appareil.
Le point particulièrement troublant de cette découverte est que Showcase ne peut pas être désinstallé au niveau de l’utilisateur. Et bien qu’il ne soit pas activé par défaut, iVerify a déclaré qu’il pourrait y avoir plusieurs façons d’activer le logiciel. iVerify a alerté Google de la vulnérabilité en mai ; jusqu’à présent, il n’y a aucune preuve confirmée qu’elle ait été exploitée dans la nature.
Un porte-parole de Google a déclaré que Showcase « n’est plus utilisé » par Verizon et que Google aurait une mise à jour logicielle pour supprimer le logiciel de tous les appareils Pixel « dans les semaines à venir ». De plus, le représentant a déclaré que Showcase n’est pas présent dans la gamme d’appareils annoncés lors de l’événement Made by Google cette semaine.