La gamme de smartphones Pixel de Google met largement en avant la sécurité comme l'une de ses principales caractéristiques. Il s'agit des premiers smartphones Android au monde à recevoir les dernières fonctionnalités et mises à jour de sécurité. Cependant, un nouveau rapport apporte des nouvelles inquiétantes pour les propriétaires d'appareils Pixel, notamment en matière de sécurité.
Selon un rapport de WIRED, tous les téléphones Pixel vendus ces dernières années disposent d'une application appelée Showcase. L'application préchargée a laissé une faille de sécurité inquiétante dans les smartphones Pixel. Cependant, Google aurait désormais reconnu le problème de sécurité. L'entreprise supprimera bientôt l'application Showcase des téléphones Pixel.
Showcase est une application au niveau du système qui laisse une faille de sécurité majeure dans Pixels
Le rapport mentionne que des chercheurs de l'entreprise de sécurité des appareils mobiles iVerify ont découvert cette vulnérabilité de sécurité particulière sur les Pixel. Le problème est lié à un logiciel baptisé « Showcase.apk ». L'application préchargée s'exécute au niveau du système et est invisible pour les utilisateurs. L'application a été créée par la société de logiciels d'entreprise Smith Micro pour Verizon. Elle permettait de mettre les téléphones Pixel en mode démo dans un magasin de détail.
Bien que Verizon n’utilise plus l’application Showcase, elle est toujours préchargée dans « chaque version Android pour Pixel », comme le rapporte WIRED. Le rapport suggère que le package logiciel problématique est présent dans chaque version Pixel depuis septembre 2017. L’application expose les appareils Pixel à la manipulation et à la prise de contrôle.
L'application Showcase dispose de privilèges système étendus. Ceux-ci incluent l'exécution de code à distance et l'installation d'applications à distance. Les privilèges étendus de l'application pourraient ouvrir les appareils Pixel au contrôle d'une partie malveillante. De plus, l'application est conçue pour télécharger un fichier de configuration à l'aide d'une connexion Web HTTP non chiffrée. Cela met les téléphones Pixel beaucoup plus en danger car cela permet à un attaquant de prendre le contrôle de l'ensemble de l'appareil de la victime.
Google va supprimer l'application Showcase des appareils Pixel
Selon le rapport, iVerify a révélé ses conclusions à Google au début du mois de mai de cette année. Jusqu'à présent, le géant de la recherche n'a pas publié de correctif pour le problème de sécurité. Cependant, un porte-parole de Google a déclaré à WIRED que Showcase « n'est plus utilisé » par Verizon. Android supprimera ce package logiciel de tous les produits Pixel pris en charge via une mise à jour logicielle. Il n'y a pas de calendrier provisoire pour le déploiement de la mise à jour, mais elle devrait arriver « dans les semaines à venir ».
