Nous utilisons des cookies pour améliorer votre expérience.

MacBidouille

Samedi sécurité : Google a installé un spyware dans ses Pixel vendus par Verizon aux USA

Google est un acteur fabuleux du monde des smartphone, du niveau d'Apple par certains cotés et même plus par d'autres, comme Android ou son team de détection des menaces qui bénéficient à tous.
Les Google Pixel sont reconnus comme étant d'excellent smartphone Android, et comme les Nexus avec une version d'OS et d'App installées qui sont considérées par les experts comme "propres". Sûres.

Ce sont des smartphone plus chers que leurs concurrents Chinois, mais qu'on pouvait facilement conseiller, par leur qualité matérielle même si il y a eu des couacs, et par leur qualité et suivi logiciel.
Nul n'est parfait, mais Google vise l'excellence, et ça a un prix.

Showcase.apk

Showcase est une App créée par la société Américaine Smith Micro et intégrée dans les Google Pixel vendus par Verizon, probablement pour permettre à ses vendeurs de réaliser de belles démonstrations et donc d'augmenter les ventes.

Cette App permet de prendre le contrôle complet d'un smartphone, avec des droits très (trop) élevés. Elle a été détectée par iVerify.
On peut comprendre qu'on intègre cela dans des exemplaires de démonstration, afin de faciliter la vie des vendeurs, et d'augmenter ainsi les ventes.

Sauf que cette App s'est retrouvée dans tous les Google Pixel vendus par Verizon aux USA.
Sans qu'on soit certain à ce point que d'autres ne l'aient pas reçu.
Ou que Verizon n'ai pas écoulé certains de ses stocks au travers d'autres vendeurs.

Point bonus: cette App ne peut être désinstallée par l'utilisateur!

Config http vs https/tls et certificate pinning

Le problème de cette App est qu'elle prend sa configuration depuis un serveur, en fait via un nom de domaine, en http. En clair. Non chiffré.

À ce niveau de contrôle sur l'appareil on se serait attendu à du https, en TLS 1.3 puisque récent, et avec du Certificate Pinning pour éviter que des acteurs de niveau gouvernemental puissent générer des certificats depuis leurs propres CA. Que nenni!

Non seulement le traffic est interceptable, il est aussi modifiable, le serveur accédé peut être changé via les DNS ou une attaque sur celles-ci, ainsi que via la configuration de l'appareil (/etc/hosts), ou tout firewall installé.

Showcase est un spyware dans la nature sur de nombreux Google Pixel et qui n'attend qu'une attaque pour permettre d'en prendre le contrôle. Attaque distante ou locale.
Et même informé, vous ne pouvez la désinstaller...

La réponse catastrophique de Google

Pendant 90 jours après avoir été prévenu par la société de sécurité iVerify, Google a choisi de ne rien faire. Rien du tout. 3 mois avec un spyware connu et identifié.

Pour prétendre après au Washington Post via son porte-parole Ed Fernandez:
"Par excès de précaution, nous allons supprimer ceci de tous les appareils Pixel pris en charge sur le marché avec une prochaine mise à jour logicielle Pixel." - Traduction par Google Gemini

En rajoutant:
"L'exploitation de cette application sur un téléphone utilisateur nécessite à la fois un accès physique à l'appareil et le mot de passe de l'utilisateur." - Traduction par Google Gemini
Ce qui est absolument faux. Un mensonge. Voir mon analyse.

Donc implicitement, des Google Pixel plus pris en charge pourraient contenir ce malware et rien ne sera fait.
Grandiose!

Mon analyse

Il y a plusieurs problèmes, lorsqu'on regarde cela du point-de-vue d'un hacker ou de quelqu'un pratiquant l'ingénierie sociale via ses études en éthnométhodologie.

Le premier est que beaucoup d'utilisateurs quand ils reçoivent un nouvel appareil, jouent avec.
Essayent les Apps installées, surtout avec un Google Pixel, aucune App ne va faire de mal, il y a une forme de confiance quand on dépense autant pour un smartphone d'un géant comme cela, non?

Le second, c'est l'ingénierie sociale, je n'ai pas besoin d'accès physique au smartphone encore moins d'avoir besoin de code PIN, empreinte ou de dupliquer le visage de l'utilisateur.
J'ai juste besoin de faire naître de la curiosité en lui. Et de l'exploiter.
Ça peut tout autant être de prétendre que je n'ai pas l'App Showcase et que je me demande ce qu'elle fait, peut-il me montrer ça ou essayer et me dire, même à 5000 km de distance?
Ou alors en prétendant que Showcase déverrouille des fonctions imaginaires, que cet utilisateur devrait essayer.

Au pire retomber sur l'aide. Showcase ne semble pas fonctionner sur mon Android, peux-tu essayer pour m'aider?
Les bases de l'ingénierie sociale. Utiliser les bonnes valeurs de la personne contre elle-même.

Et évidemment il y a le code...
Un malware peut exploiter l'App Showcase en la lançant via son Intent. Pas de permissions spécifiques nécessaires. Aussi simple que cela: startActivity(getPackageManager().getLaunchIntentForPackage("com.example.otherapp"));

Pire si le malware se présente comme un firewall, alors il peut intercepter et rediriger les communications en clair de Showcase dont sa configuration. Ça ne sera pas détecté sur le PlayStore.

Et en fait des firewalls de qualités pourraient bloquer ses communications ou les rediriger aussi.

Je m'attend donc à des Apps se présentant comme des firewalls, probablement forkés d'autres open-source et sûres, lançant Showcase et lui injectant une configuration...

Palantir

Palantir distribuait des smartphone Android à ses employés pour du 2FA, préférablement des Google Pixel pour justement avoir un appareil non-soupçonné de servir à des intérêts étrangers dont Chinois.
Ils ont choisi de bannir tout smartphone Android pour des raisons de sécurité.
Donc uniquement des iPhone Apple.

Ceux qui connaissent Palantir savent. Les autres devraient s'informer.

Quand une société à ce niveau dans la chaîne de sécurité, avec ses liens avec différents gouvernements, choisi de bannir les smartphone Android pour sa sécurité, tout le monde devrait observer, analyser et probablement suivre...

Conclusion

On est là dans un immense problème pour Google.
Qui n'a pas fait son travail de QA sur l'app Showcase qui est une tuerie sur ses Pixel au propre et au figuré.
Qui doit virer cette App de toute façon possible, et le plus tôt possible.
Bloquer le serveur ne sert à rien dans le cadre d'une attaque via une autre App, surtout une App se présentant comme un Firewall. Ne demandant pas plus de droits que nécessaire pour un firewall...

Tous ceux ayant lancé cette App, qui fonctionne en background, sont exposés sur tout réseau publique.

Il faut que Google agisse, le plus promptement possible, et se retourne contre Verizon et le créateur de cette App qui est en fait un spyware.
Et agisse aussi sur les Google Pixel qu'ils ne veulent plus supporter!

Cela pourrait mener à une Class Action aux États-Unis...

Partager sur
Sondage

Etes-vous tenté par le nouveau Mac mini M4 ?