La société de cybersécurité iVerify a découvert une vulnérabilité qui pourrait affecter la plupart des smartphones Google Pixel vendus depuis 2017. Apparemment, les smartphones concernés comportaient un logiciel qui pouvait servir à surveiller ou contrôler à distance les smartphones des utilisateurs.
Palantir a interdit tous les appareils Android suite à la découverte de la vulnérabilité
La vulnérabilité a été découverte après que le scanner de détection et de réponse aux points de terminaison (EDR) d’iVerify ait signalé un appareil Android non sécurisé chez Palantir Technologies. Il s’agit d’un client d’iVerify. Les sociétés iVerify, Palantir et Trail of Bits ont alors lancé une enquête conjointe. Ils ont alors découvert un package logiciel Android caché dénommé « Showcase.apk » sur les appareils Google Pixel.
Suite à cette découverte, Palantir – qui vend ses produits de surveillance aux gouvernements et aux entreprises privées – a alors interdit les appareils Android dans toute l’entreprise. Dane Stuckey, le responsable de la sécurité informatique de Palantir, a déclaré :
‘C’est très délétère pour la confiance que d’avoir des logiciels tiers non sécurisés sur le système. Nous n’avons aucune idée de la façon dont ils sont arrivés là. Nous avons donc pris la décision d’interdire les Android en interne. C’est vraiment très inquiétant. Les Pixels sont censés être propres. Il y a tout un tas de dispositifs de défense intégrés aux téléphones Pixel.‘
Le logiciel caché devrait être supprimé des Google Pixel dans les semaines à venir
Selon le rapport d’iVerify, le logiciel a été développé par une société du nom de Smith Micro Software. Il semble également avoir été créé pour Verizon pour des démonstrations en magasin. Le rapport indique que l’application était inactive par défaut et qu’elle devait être activée manuellement. iVerify explique que :
‘Lorsqu’elle est activée, Showcase.apk rend le système d’exploitation accessible aux pirates informatiques et propice aux attaques de type « man-in-the-middle », aux injections de code et aux logiciels espions. L’impact de cette vulnérabilité est important et pourrait entraîner des pertes de données totalisant des milliards de dollars.‘
Ed Fernandez, le porte-parole de Google, a déclaré que le logiciel avait servi « pour les appareils de démonstration en magasin Verizon et n’est plus utilisé ». Par ailleurs, il ajoute que Google n’avait « vu aucune preuve d’une quelconque exploitation active ». Néanmoins, alors qu’iVerify avait communiqué son rapport au géant technologique en mai, Google n’a ni parlé publiquement de cette faille de sécurité, ni publié de correctif. Apparemment, l’entreprise supprimerait l’application de tous les appareils Google Pixel « dans les semaines à venir ».