Un grand pourcentage des appareils Pixel de Google expédiés dans le monde depuis septembre 2017 incluaient des logiciels inactifs qui pourraient être utilisés pour lancer des attaques malveillantes et diffuser divers types de logiciels malveillants.
Le problème apparaît sous la forme d’une application Android préinstallée appelée « Showcase.apk » dotée de privilèges système excessifs, notamment la possibilité d’exécuter du code à distance et d’installer des packages arbitraires sur l’appareil, selon la société de sécurité mobile iVerify.
« L’application télécharge un fichier de configuration via une connexion non sécurisée et peut être manipulée pour exécuter du code au niveau du système », Il a dit Dans une analyse publiée en collaboration avec Palantir Technologies et Trail of Bits.
« L’application récupère le fichier de configuration d’un seul domaine basé aux États-Unis, hébergé par AWS sur HTTP non sécurisé, ce qui rend la configuration vulnérable et peut rendre l’appareil vulnérable. »
L’application en question s’appelle Mode démo de vente au détail Verizon (« com.customermobile.preload.vzw »), qui nécessite Près de trois douzaines d’autorisations différentes basées sur des artefacts téléchargés sur VirusTotal plus tôt en février, y compris l’emplacement et le stockage externe. Messages sur Reddit et Forums XDA Cela montre que le package existe depuis août 2016.
Le nœud du problème est que l’application télécharge un fichier de configuration via une connexion Web qui n’est pas cryptée à l’aide de HTTP plutôt que de HTTPS, ouvrant ainsi la porte à des modifications pendant son transit vers le téléphone cible. Il n’y a aucune preuve qu’il ait jamais été exploité.
Autorisations requises par l’application Showcase.apk |
Il convient de noter que l’application n’est pas un programme créé par Google. Il a plutôt été développé par une société de logiciels d’entreprise appelée Smith Micro pour mettre l’appareil en mode bêta. On ne sait pas encore pourquoi un logiciel tiers a été inclus directement dans le micrologiciel Android, mais en ce qui concerne le backend, un représentant de Google a déclaré que l’application appartenait à Verizon et qu’elle était requise sur tous les appareils Android.
Le résultat final est que les smartphones Android Pixel deviennent vulnérables aux attaques contradictoires de l’homme du milieu (AitM), donnant aux acteurs malveillants la possibilité d’injecter du code malveillant et des logiciels espions.
En plus de s’exécuter dans un contexte de privilèges élevés au niveau du système, l’application « ne parvient pas à authentifier ou à vérifier une portée spécifiée statiquement lors de la récupération du fichier de configuration de l’application » et « utilise une initialisation de variable par défaut non sécurisée lors de la vérification du certificat et de la signature, ce qui entraîne une erreur valide. vérifications après échec. »
Cependant, la gravité de cette faille est quelque peu atténuée par le fait que l’application n’est pas activée par défaut, bien que cela ne soit possible que lorsque l’acteur malveillant a un accès physique à un appareil cible et que le mode développeur est activé.
« Parce que cette application n’est pas intrinsèquement malveillante, la plupart des technologies de sécurité l’ignoreraient et ne la classeraient pas comme malveillante, et comme l’application est installée au niveau du système et fait partie de l’image du micrologiciel, elle ne peut pas être désinstallée au niveau de l’utilisateur. » iVerify a dit.
Dans une déclaration partagée avec The Hacker News, Google a déclaré que cette vulnérabilité ne concerne ni Android ni les téléphones Pixel, mais concerne plutôt un fichier de package développé pour les appareils bêta de Verizon au sein du magasin. Elle a également déclaré que l’application n’était plus utilisée.
Un porte-parole de Google a déclaré : « L’exploitation de cette application sur le téléphone d’un utilisateur nécessite un accès physique à l’appareil et au mot de passe de l’utilisateur. Nous n’avons vu aucune preuve d’une quelconque exploitation active. Par mesure de prudence, nous supprimerons cette application de tous les Pixel pris en charge. » L’application n’est pas disponible sur les appareils de la série Pixel 9. Nous informons également les autres fabricants d’appareils Android. «