Une vulnérabilité a été découverte affectant les utilisateurs de Google Pixel avec une vulnérabilité qui aurait pu exposer les informations les plus sensibles des utilisateurs et pourrait continuer à le faire dans certains cas.
Bien que Google ait publié un correctif pour CVE-2023-21036 dans son Mise à jour de mars (s’ouvre dans un nouvel onglet)la vulnérabilité à haut risque a permis aux pirates d’annuler de nombreuses modifications apportées aux images sur les appareils Pixel.
Il concerne spécifiquement la fonction de balisage, qui permet aux utilisateurs d’éditer des photos de manière à éliminer les informations sensibles des images telles que les cartes bancaires, soit en recadrant certains aspects, soit en appliquant des calques visuels sur des éléments.
Vulnérabilité du balisage de pixels
Selon les rétro-ingénieurs Simon Aaron (s’ouvre dans un nouvel onglet) et David Buchanan (s’ouvre dans un nouvel onglet)qui a découvert le problème, avec une image modifiée – et apparemment sécurisée -, un acteur malveillant pourrait dans certains cas annuler ces modifications pour exposer des informations sensibles dans une vulnérabilité appelée « acropalypse ».
Alors que beaucoup d’entre nous préfèrent partager des images via des canaux qui préfèrent tout ou partie de leurs métadonnées, comme Discord, cela s’est avéré moins sécurisé, exposant la vulnérabilité. Il convient de mentionner que Discord a résolu le problème à la mi-janvier 2023. En revanche, des plates-formes comme Twitter traitent les images d’une manière différente, laissant à leur tour les modifications irréversibles.
La faille provient d’Android 9 Pie qui coïncide avec la famille Pixel 3, ce qui signifie que 4, 5, 6 et les 7 dernières familles de modèles auraient également été affectées.
Compte tenu de l’âge de certains appareils, seuls le Pixel 4a et les versions plus récentes reçoivent actuellement mises à jour de sécurité (s’ouvre dans un nouvel onglet) laissant certains modèles antérieurs, y compris le 4 et tout ce qui le précède, sans support officiel, donc toujours vulnérables.
De plus, les captures d’écran modifiées envoyées avant le déploiement des mises à jour restent vulnérables et doivent donc être supprimées dans la mesure du possible.
Tech Radar Pro a demandé à Google de confirmer s’il existe encore des appareils qui continuent d’exposer la vulnérabilité et, le cas échéant, s’ils seront corrigés.