{"id":1282721,"date":"2024-08-16T05:58:04","date_gmt":"2024-08-16T07:58:04","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-appareils-google-pixel-livres-avec-une-application-vulnerable-mettant-des-millions-de-personnes-en-danger\/"},"modified":"2024-08-16T05:58:08","modified_gmt":"2024-08-16T07:58:08","slug":"les-appareils-google-pixel-livres-avec-une-application-vulnerable-mettant-des-millions-de-personnes-en-danger","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-appareils-google-pixel-livres-avec-une-application-vulnerable-mettant-des-millions-de-personnes-en-danger\/","title":{"rendered":"Les appareils Google Pixel livr\u00e9s avec une application vuln\u00e9rable, mettant des millions de personnes en danger"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">16 ao\u00fbt 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 mobile \/ S\u00e9curit\u00e9 logicielle<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/Les-appareils-Google-Pixel-livres-avec-une-application-vulnerable-mettant.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Un pourcentage important des appareils Pixel de Google livr\u00e9s dans le monde depuis septembre 2017 incluaient des logiciels dormants qui pouvaient \u00eatre utilis\u00e9s pour lancer des attaques n\u00e9fastes et diffuser divers types de logiciels malveillants.<\/p>\n<p>Le probl\u00e8me se manifeste sous la forme d&#8217;une application Android pr\u00e9install\u00e9e appel\u00e9e \u00ab Showcase.apk \u00bb qui est dot\u00e9e de privil\u00e8ges syst\u00e8me excessifs, notamment la possibilit\u00e9 d&#8217;ex\u00e9cuter du code \u00e0 distance et d&#8217;installer des packages arbitraires sur l&#8217;appareil, selon la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 mobile iVerify.<\/p>\n<p>\u00ab L&#8217;application t\u00e9l\u00e9charge un fichier de configuration via une connexion non s\u00e9curis\u00e9e et peut \u00eatre manipul\u00e9e pour ex\u00e9cuter du code au niveau du syst\u00e8me \u00bb, a-t-il d\u00e9clar\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/iverify.io\/blog\/iverify-discovers-android-vulnerability-impacting-millions-of-pixel-devices-around-the-world\" target=\"_blank\">dit<\/a> dans une analyse publi\u00e9e conjointement avec Palantir Technologies et Trail of Bits.<\/p>\n<p>\u00ab L&#8217;application r\u00e9cup\u00e8re le fichier de configuration \u00e0 partir d&#8217;un seul domaine bas\u00e9 aux \u00c9tats-Unis et h\u00e9berg\u00e9 sur AWS via un protocole HTTP non s\u00e9curis\u00e9, ce qui rend la configuration vuln\u00e9rable et peut rendre l&#8217;appareil vuln\u00e9rable. \u00bb<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/inside-b-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/Microsoft-revele-quatre-failles-OpenVPN-pouvant-conduire-a-des-RCE.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>L&#8217;application en question s&#8217;appelle <a rel=\"nofollow noopener\" href=\"https:\/\/www.apkmirror.com\/apk\/verizon-vz\/verizon-store-demo-mode\/verizon-store-demo-mode-retail-demo-mode-release\/verizon-retail-demo-mode-retail-demo-mode-android-apk-download\/\" target=\"_blank\">Mode d\u00e9mo de Verizon Retail<\/a> (\u00ab com.customermobile.preload.vzw \u00bb), qui <a rel=\"nofollow noopener\" href=\"https:\/\/www.virustotal.com\/gui\/file\/de45978e16344539aaea32d06fdcefcb53ccde260c7d1e61842eafb3485840b0\/details\" target=\"_blank\">n\u00e9cessite<\/a> pr\u00e8s de trois douzaines d&#8217;autorisations diff\u00e9rentes bas\u00e9es sur des artefacts t\u00e9l\u00e9charg\u00e9s sur VirusTotal plus t\u00f4t en f\u00e9vrier, y compris l&#8217;emplacement et le stockage externe. <a rel=\"nofollow noopener\" href=\"https:\/\/www.reddit.com\/r\/AndroidQuestions\/comments\/4x9wuy\/verizon_store_demo_mode\/\" target=\"_blank\">Reddit<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/xdaforums.com\/t\/vzw-apps-on-my-phone.3748011\/\" target=\"_blank\">Forums XDA<\/a> montrent que le package existe depuis ao\u00fbt 2016.<\/p>\n<p>Le n\u0153ud du probl\u00e8me est li\u00e9 au fait que l&#8217;application t\u00e9l\u00e9charge un fichier de configuration via une connexion Web HTTP non chiffr\u00e9e, par opposition \u00e0 HTTPS, ce qui ouvre la porte \u00e0 la modification de ce fichier pendant son transfert vers le t\u00e9l\u00e9phone cibl\u00e9. Il n&#8217;existe aucune preuve que cette m\u00e9thode ait jamais \u00e9t\u00e9 explor\u00e9e dans la nature.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/1723795083_926_Les-appareils-Google-Pixel-livres-avec-une-application-vulnerable-mettant.png\" style=\"clear: left; display: block; margin-left: auto; margin-right: auto; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/1723795083_926_Les-appareils-Google-Pixel-livres-avec-une-application-vulnerable-mettant.png\" alt=\"Google Pixel\" border=\"0\" data-original-height=\"500\" data-original-width=\"728\" title=\"Google Pixel\"\/><\/a><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Autorisations demand\u00e9es par l&#8217;application Showcase.apk<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Il convient de noter que l&#8217;application n&#8217;est pas un logiciel d\u00e9velopp\u00e9 par Google. Elle a \u00e9t\u00e9 d\u00e9velopp\u00e9e par une soci\u00e9t\u00e9 de logiciels d&#8217;entreprise appel\u00e9e Smith Micro pour mettre l&#8217;appareil en mode d\u00e9mo. On ne sait pas encore pourquoi un logiciel tiers est directement int\u00e9gr\u00e9 au firmware Android, mais, en arri\u00e8re-plan, un repr\u00e9sentant de Google a d\u00e9clar\u00e9 que l&#8217;application appartient \u00e0 Verizon et est requise sur tous les appareils Android.<\/p>\n<p>Le r\u00e9sultat net est que les smartphones Android Pixel sont vuln\u00e9rables aux attaques de type \u00ab adversaire du milieu \u00bb (AitM), accordant aux acteurs malveillants le pouvoir d\u2019injecter du code malveillant et des logiciels espions.<\/p>\n<p>Outre le fait qu&#8217;elle s&#8217;ex\u00e9cute dans un contexte hautement privil\u00e9gi\u00e9 au niveau du syst\u00e8me, l&#8217;application \u00ab ne parvient pas \u00e0 authentifier ou \u00e0 v\u00e9rifier un domaine d\u00e9fini statiquement lors de la r\u00e9cup\u00e9ration du fichier de configuration de l&#8217;application \u00bb et \u00ab utilise une initialisation de variable par d\u00e9faut non s\u00e9curis\u00e9e lors de la v\u00e9rification du certificat et de la signature, ce qui entra\u00eene des contr\u00f4les de v\u00e9rification valides apr\u00e8s un \u00e9chec \u00bb.<\/p>\n<p>Cela dit, la criticit\u00e9 de la faille est att\u00e9nu\u00e9e dans une certaine mesure par le fait que l&#8217;application n&#8217;est pas activ\u00e9e par d\u00e9faut, bien qu&#8217;il ne soit possible de le faire que lorsqu&#8217;un acteur de la menace a un acc\u00e8s physique \u00e0 un appareil cible et que le mode d\u00e9veloppeur est activ\u00e9.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/cis-image-hn\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/08\/1723195626_70_Le-ministere-de-la-Justice-accuse-un-homme-de-Nashville.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>\u00ab \u00c9tant donn\u00e9 que cette application n&#8217;est pas intrins\u00e8quement malveillante, la plupart des technologies de s\u00e9curit\u00e9 peuvent l&#8217;ignorer et ne pas la signaler comme malveillante, et comme l&#8217;application est install\u00e9e au niveau du syst\u00e8me et fait partie de l&#8217;image du micrologiciel, elle ne peut pas \u00eatre d\u00e9sinstall\u00e9e au niveau de l&#8217;utilisateur \u00bb, a d\u00e9clar\u00e9 iVerify.<\/p>\n<p>Dans une d\u00e9claration partag\u00e9e avec The Hacker News, Google a d\u00e9clar\u00e9 qu&#8217;il ne s&#8217;agissait pas d&#8217;une vuln\u00e9rabilit\u00e9 de la plateforme Android ni de Pixel, et qu&#8217;elle \u00e9tait li\u00e9e \u00e0 un fichier de package d\u00e9velopp\u00e9 pour les appareils de d\u00e9monstration en magasin Verizon. Il a \u00e9galement d\u00e9clar\u00e9 que l&#8217;application n&#8217;\u00e9tait plus utilis\u00e9e.<\/p>\n<p>\u00ab L&#8217;exploitation de cette application sur le t\u00e9l\u00e9phone d&#8217;un utilisateur n\u00e9cessite \u00e0 la fois un acc\u00e8s physique \u00e0 l&#8217;appareil et le mot de passe de l&#8217;utilisateur \u00bb, a d\u00e9clar\u00e9 un porte-parole de Google. \u00ab Nous n&#8217;avons constat\u00e9 aucune preuve d&#8217;exploitation active. Par mesure de pr\u00e9caution, nous allons supprimer cette application de tous les appareils Pixel pris en charge sur le march\u00e9 avec une prochaine mise \u00e0 jour du logiciel Pixel. L&#8217;application n&#8217;est pas pr\u00e9sente sur les appareils de la s\u00e9rie Pixel 9. Nous informons \u00e9galement les autres fabricants d&#8217;\u00e9quipement d&#8217;origine Android. \u00bb<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/08\/google-pixel-devices-shipped-with.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80216 ao\u00fbt 2024\ue804Ravie LakshmananS\u00e9curit\u00e9 mobile \/ S\u00e9curit\u00e9 logicielle Un pourcentage important des appareils Pixel de Google livr\u00e9s dans le monde depuis septembre 2017 incluaient des logiciels dormants qui pouvaient \u00eatre utilis\u00e9s pour lancer des attaques n\u00e9fastes et diffuser divers types de logiciels malveillants. Le probl\u00e8me se manifeste sous la forme d&#8217;une application Android pr\u00e9install\u00e9e appel\u00e9e [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1282722,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[238714,200292,238582,238778,8737,1832,84,4168,4158,6124,1572,133,7755,65,238584,8012,200271,27565,1610,238334,98340,1055,63033,238617,246491,4172,196,4166,238583,4891],"class_list":["post-1282721","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-des-hackers","tag-actualites-sur-la-cybersecurite","tag-actualites-sur-la-cybersecurite-aujourdhui","tag-actualites-sur-le-piratage-informatique","tag-appareils","tag-application","tag-avec","tag-comment-pirater","tag-cyber-actualites","tag-cyberattaques","tag-danger","tag-des","tag-google","tag-les","tag-les-nouvelles-des-hackers","tag-livres","tag-logiciel-malveillant-rancongiciel","tag-mettant","tag-millions","tag-mises-a-jour-cybernetiques","tag-mises-a-jour-de-cybersecurite","tag-personnes","tag-pixel","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-une","tag-violation-de-donnees","tag-vulnerabilite-du-logiciel","tag-vulnerable"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1282721","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1282721"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1282721\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1282722"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1282721"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1282721"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1282721"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}