Google Pixel 7 et les anciens Pixels ont une faille potentiellement dangereuse cachée dans leurs outils de retouche photo qui, même maintenant corrigée, pourrait encore permettre à d’autres de révéler des informations potentiellement compromettantes.
Le « aCropalypse (s’ouvre dans un nouvel onglet)« , découverte par Simon Aarons et David Buchanan, permet d’annuler au moins partiellement les modifications apportées à l’aide de l’outil de balisage intégré d’Android, comme le montre l’outil sur la page Web liée ci-dessus.
Cela est possible car les fichiers d’origine sont enregistrés à côté des fichiers modifiés, plutôt que d’écraser ou d’enregistrer les deux images séparément.
La paire a signalé le problème à Google en privé en janvier, mais ils pensent que le problème existe depuis cinq ans, ou en d’autres termes, aussi longtemps que l’outil de balisage est disponible depuis son arrivée dans Android 9 (Pie).
Ce n’est pas par définition une vulnérabilité, mais cela dépend de ce que vous modifiez. Vous pourriez trouver des informations personnelles (ou des détails que vous préféreriez ne pas voir) sont étonnamment faciles à obtenir. Selon Aarons et Buchanan, le téléchargement de ces clichés sur certains services de médias sociaux (comme Twitter) intégrerait les modifications, mais d’autres ne le feraient pas, permettant à d’autres utilisateurs de télécharger l’image et d’annuler les modifications.
Cependant, les chercheurs mentionnent que d’autres, comme Discord, téléchargeaient jusqu’à récemment le fichier tel quel, permettant aux utilisateurs du même canal d’annuler potentiellement les modifications.
Nous l’avons fait fonctionner – c’est un peu effrayant
Dans nos propres tentatives d’utilisation de l’outil de reconstruction avec des captures d’écran d’un Pixel 3a que j’avais sous la main, et avec l’aide d’un collègue avec un Pixel 6 Pro, nous avons pu restaurer les images recadrées dans leur état d’origine, mais aucune n’avait essayé de dessiner à l’aide du stylo ou de l’outil surligneur. Voici notre meilleur exemple, où l’outil a pu reconstruire une capture d’écran complète d’une application de supermarché à partir d’une image recadrée de la seule bannière en bas.
Si c’était la limite des capacités du bug, je ne serais pas trop inquiet, mais Aarons a pu révéler un (échantillon) numéro de carte de crédit (s’ouvre dans un nouvel onglet) après avoir été bloqué en utilisant cette méthode.
La mise à jour de mars qui comble cette lacune est actuellement téléchargeable sur les Pixel 4a, Pixel 5a, Pixel 6 et Pixel 6 Pro, ainsi que sur les derniers Pixel 7 et Pixel 7 Pro. Cependant, tous les Pixel depuis l’original peuvent en théorie exécuter Android 9, la version qui a introduit le balisage, et donc être à risque de cette faille.
Assurez-vous de télécharger la mise à jour dès que possible et faites attention au partage d’images que vous avez modifiées dans Markup auparavant.