L'application Showcase.apk affecte des millions de téléphones Google Pixel depuis 2017. Elle représente une faille qui permet potentiellement aux pirates d'exécuter du code malveillant et d'installer des logiciels à distance. Google n'a pas encore publié de correctif.
Les Google Pixel font beaucoup parler d'eux ces derniers temps. Juste avant la sortie du Pixel 9 le 22 août prochain, une polémique autour de ses prédécesseurs fait surface. Pourtant réputés pour leur sécurité renforcée, des « millions » de Pixel « à travers le monde » souffrent pourtant d'une faille de sécurité, nichée dans les entrailles du système d'exploitation Android.
Le géant de Mountain View, pris de court, semble long à la détente, tout en promettant un correctif. Les experts en cybersécurité tirent la sonnette d'alarme, tandis que certaines entreprises envisagent déjà de tourner le dos à l'écosystème Android.
Showcase.apk : comme un cheval de Troie caché dans les Pixel
Il s'appelle Showcase.apk. Invisible pour l'utilisateur lambda, ce petit bout de code se niche dans les entrailles du système Android depuis 2017. Conçu initialement par Smith Micro pour Verizon, son but était simple : transformer les téléphones en vitrines de démonstration dans les magasins. C'était sans compter sur le fait que cette application de démonstration commerciale s'avérait en fait une porte d'entrée pour les hackers.
Détourné, Showcase.apk a les capacités d'un véritable couteau suisse numérique. Il peut exécuter du code à distance et installer des logiciels en toute discrétion. Pire encore, l'application fait ses emplettes de configuration sur le web sans protection, via une connexion HTTP non sécurisée.
Cette faille touche potentiellement tous les Pixel vendus depuis 2017. Des millions d'appareils sont donc concernés. D'après les chercheurs de iVerify, Showcase.apk serait désactivée. Mais ils craignent tout de même que des esprits malins ne trouvent un moyen de la réveiller à distance.
Google temporise, d'autres Android pourraient être touchés
Plutôt vague sur le dispositif de correction, Google joue la montre. Informé de la vulnérabilité en mai 2023, le géant du web n'a toujours pas sorti son kit de réparation. Un silence radio qui n'est jamais très bien vu ni bien interprété par les experts en cybersécurité, et du pain bénit pour les hackers qui espèrent que Google prendra son temps pour neutraliser Showcase.apk.
Pourtant, Ed Fernandez, porte-parole de l'entreprise, a déclaré à Wired que Showcase « n'est plus utilisé » par Verizon. Une mise à jour logicielle prévue « dans les semaines à venir » devrait éradiquer l'application de tous les Pixel encore sous perfusion de mises à jour. Et presque de mauvaise foi, Google affirme n'avoir aucune preuve que cette faille ait été exploitée dans la nature.
08 novembre 2024 à 11h35
Bonne nouvelle pour les plus impatients qui auraient déjà précommandé le leur : les tout nouveaux Pixel 9 sont épargnés par ce logiciel encombrant. Mais qu'en est-il des millions de propriétaires d'anciens modèles ?
Une autre inconnue vient aggraver la situation. Ad Fernandez a lâché une bombe : « Nous informons également d'autres fabricants d'équipements d'origine Android ». Cette petite phrase laisse entendre que d'autres marques pourraient avoir les mêmes squelettes dans leurs placards numériques. Google n'est pas sorti du sable avec Android, qui doit lancer sa version 15 très prochainement.
- Un écran encore meilleur que sur le Pixel 7a
- Des performances équivalentes au Pixel 8
- 7 ans de mises à jour garanties
- Le design impeccable
- Très, très à l'aise en photo
- Un superbe écran, très lumineux