Des millions de smartphones Pixel présentent une faille de sécurité depuis 2017 et Google ne l’a pas encore corrigée
Des experts en cybersécurité ont découvert une faille importante sur des millions de smartphones Pixel. Sa particularité est qu'elle existe depuis 7 ans maintenant et que le correctif se fait toujours attendre.
En matière de cybersécurité, la chasse aux failles est une priorité. Ce sont elles que les pirates exploitent pour infiltrer nos appareils et il est normal de vouloir les trouver afin de les combler. Parfois, les experts en découvrent une avant les hackers, mais le plus souvent, il faut malheureusement attendre des attaques. Plus rarement, des vulnérabilités passent inaperçues pendant de nombreuses années avant de faire surface. C'est le cas de celle mise en lumière par iVerify.
Elle concerne plusieurs millions de smartphones Pixel mis sur le marché depuis septembre 2017 exactement. Totalement invisible pour l'utilisateur, la faille permet à une personne malveillante d'exécuter du code à distance voire d'installer un malware. Des possibilités déjà très inquiétantes, mais qui le deviennent encore plus quand on sait qu'à votre niveau, il n'y a rien que vous puissiez faire pour vous protéger. C'est à Google de déployer une mise à jour et elle n'est pas encore prête.
Cette faille de sécurité touchent des millions de smartphones Pixel, le correctif de Google se fait attendre
Le problème provient d'un fichier nommé Showcase.apk. Impossible à supprimer par nous-même, il s'agit d'un programme développé pour l'opérateur mobile américain Verizon et sert à afficher un mode de démonstration sur les appareils exposés en boutique. Pour ce faire, le logiciel télécharge un fichier de configuration via une connexion Internet non chiffrée. Et comme Showcase.apk possède des accès étendus et profonds au système Android, les pirates peuvent facilement exploiter ce fonctionnement.
Lire aussi – Android : pour vous protéger des failles de sécurité, il y a une solution très simple
Heureusement, le fichier incriminé est désactivé par défaut et son activation nécessite un accès physique au mobile. Une commande à distance n'est tout de même pas à exclure selon les chercheurs. Google a indiqué que Showcase “n'est plus utilisé” par Verizon et que la firme déploiera une mise à jour “dans les prochaines semaines” pour supprimer le programme des Pixel. Elle ajoute que les récents Pixel 9 ne sont pas concernés. En attendant, l'entreprise Palantir, qui a participé à la découverte d'iVerify, a choisi d'interdire tous les smartphones Android à ses employés.
Source : Wired