Un pourcentage important des appareils Pixel de Google livrés dans le monde depuis septembre 2017 incluaient des logiciels dormants qui pouvaient être utilisés pour lancer des attaques néfastes et diffuser divers types de logiciels malveillants.
Le problème se manifeste sous la forme d’une application Android préinstallée appelée « Showcase.apk » qui est dotée de privilèges système excessifs, notamment la possibilité d’exécuter du code à distance et d’installer des packages arbitraires sur l’appareil, selon la société de sécurité mobile iVerify.
« L’application télécharge un fichier de configuration via une connexion non sécurisée et peut être manipulée pour exécuter du code au niveau du système », a-t-il déclaré. dit dans une analyse publiée conjointement avec Palantir Technologies et Trail of Bits.
« L’application récupère le fichier de configuration à partir d’un seul domaine basé aux États-Unis et hébergé sur AWS via un protocole HTTP non sécurisé, ce qui rend la configuration vulnérable et peut rendre l’appareil vulnérable. »
L’application en question s’appelle Mode démo de Verizon Retail (« com.customermobile.preload.vzw »), qui nécessite près de trois douzaines d’autorisations différentes basées sur des artefacts téléchargés sur VirusTotal plus tôt en février, y compris l’emplacement et le stockage externe. Reddit et Forums XDA montrent que le package existe depuis août 2016.
Le nœud du problème est lié au fait que l’application télécharge un fichier de configuration via une connexion Web HTTP non chiffrée, par opposition à HTTPS, ce qui ouvre la porte à la modification de ce fichier pendant son transfert vers le téléphone ciblé. Il n’existe aucune preuve que cette méthode ait jamais été explorée dans la nature.
 |
| Autorisations demandées par l’application Showcase.apk |
Il convient de noter que l’application n’est pas un logiciel développé par Google. Elle a été développée par une société de logiciels d’entreprise appelée Smith Micro pour mettre l’appareil en mode démo. On ne sait pas encore pourquoi un logiciel tiers est directement intégré au firmware Android, mais, en arrière-plan, un représentant de Google a déclaré que l’application appartient à Verizon et est requise sur tous les appareils Android.
Le résultat net est que les smartphones Android Pixel sont vulnérables aux attaques de type « adversaire du milieu » (AitM), accordant aux acteurs malveillants le pouvoir d’injecter du code malveillant et des logiciels espions.
Outre le fait qu’elle s’exécute dans un contexte hautement privilégié au niveau du système, l’application « ne parvient pas à authentifier ou à vérifier un domaine défini statiquement lors de la récupération du fichier de configuration de l’application » et « utilise une initialisation de variable par défaut non sécurisée lors de la vérification du certificat et de la signature, ce qui entraîne des contrôles de vérification valides après un échec ».
Cela dit, la criticité de la faille est atténuée dans une certaine mesure par le fait que l’application n’est pas activée par défaut, bien qu’il ne soit possible de le faire que lorsqu’un acteur de la menace a un accès physique à un appareil cible et que le mode développeur est activé.
« Étant donné que cette application n’est pas intrinsèquement malveillante, la plupart des technologies de sécurité peuvent l’ignorer et ne pas la signaler comme malveillante, et comme l’application est installée au niveau du système et fait partie de l’image du micrologiciel, elle ne peut pas être désinstallée au niveau de l’utilisateur », a déclaré iVerify.
Dans une déclaration partagée avec The Hacker News, Google a déclaré qu’il ne s’agissait pas d’une vulnérabilité de la plateforme Android ni de Pixel, et qu’elle était liée à un fichier de package développé pour les appareils de démonstration en magasin Verizon. Il a également déclaré que l’application n’était plus utilisée.
« L’exploitation de cette application sur le téléphone d’un utilisateur nécessite à la fois un accès physique à l’appareil et le mot de passe de l’utilisateur », a déclaré un porte-parole de Google. « Nous n’avons constaté aucune preuve d’exploitation active. Par mesure de précaution, nous allons supprimer cette application de tous les appareils Pixel pris en charge sur le marché avec une prochaine mise à jour du logiciel Pixel. L’application n’est pas présente sur les appareils de la série Pixel 9. Nous informons également les autres fabricants d’équipement d’origine Android. »