Une faille de sécurité affectant l’utilitaire d’édition de capture d’écran par défaut de Google Pixel, Markup, permet aux images de devenir partiellement « non éditées », révélant potentiellement les informations personnelles que les utilisateurs ont choisi de cacher, comme repéré plus tôt par 9to5Google et Police androïde. La vulnérabilité, qui était découverte par des rétro-ingénieurs Simon Aarons et David Buchanan, ont depuis été corrigés par Google, mais ont toujours des implications étendues pour les captures d’écran modifiées partagées avant la mise à jour.
Comme détaillé dans un fil Aarons posté sur Twitter, la faille bien nommée « aCropalypse » permet à quelqu’un de récupérer partiellement des captures d’écran PNG éditées dans Markup. Cela inclut les scénarios où quelqu’un peut avoir utilisé l’outil pour recadrer ou griffonner son nom, son adresse, son numéro de carte de crédit ou tout autre type d’informations personnelles que la capture d’écran peut contenir. Un acteur malveillant pourrait exploiter cette vulnérabilité pour inverser certains de ces changements et obtenir des informations que les utilisateurs pensaient avoir cachées.
Dans un prochain FAQ obtenu tôt par 9to5Google, Aarons et Buchanan expliquent que cette faille existe car Markup enregistre la capture d’écran d’origine dans le même emplacement de fichier que celui modifié et ne supprime jamais la version d’origine. Si la version modifiée de la capture d’écran est plus petite que l’original, « la partie finale du fichier d’origine est laissée après la fin du nouveau fichier ».
Selon à Buchanan, ce bogue est apparu pour la première fois il y a environ cinq ans, à peu près au même moment où Google a introduit Markup avec la mise à jour Android 9 Pie. C’est ce qui aggrave la situation, car des années d’anciennes captures d’écran éditées avec Markup et partagées sur les plateformes de médias sociaux pourraient être vulnérables à l’exploit.
La page FAQ indique que si certains sites, dont Twitter, retraitent les images publiées sur les plateformes et les débarrassent de la faille, d’autres, comme Discord, ne le font pas. Discord vient tout juste de corriger l’exploit dans une récente mise à jour du 17 janvier, ce qui signifie que les images modifiées partagées sur la plate-forme avant cette date peuvent être à risque. Il n’est toujours pas clair s’il existe d’autres sites ou applications concernés et, le cas échéant, lesquels.
L’exemple publié par Aarons (intégré ci-dessus) montre une image recadrée d’une carte de crédit publiée sur Discord, dont le numéro de carte est également bloqué à l’aide du stylo noir de l’outil de balisage. Une fois qu’Aarons télécharge l’image et exploite la vulnérabilité aCropalypse, la partie supérieure de l’image est corrompue, mais il peut toujours voir les éléments qui ont été modifiés dans Markup, y compris le numéro de carte de crédit. Vous pouvez en savoir plus sur les détails techniques de la faille dans Article de blog de Buchanan.
Après qu’Aarons et Buchanan aient signalé la faille (CVE-2023-21036) à Google en janvier, la société a corrigé le problème en mars. mise à jour de sécurité pour les Pixel 4A, 5A, 7 et 7 Pro avec sa gravité classée comme « élevée ». On ne sait pas quand cette mise à jour arrivera pour les autres appareils concernés par la vulnérabilité, et Google n’a pas immédiatement répondu à Le bordpour plus d’informations. Si vous voulez voir comment le problème fonctionne par vous-même, vous pouvez télécharger une capture d’écran modifiée avec une version non mise à jour de l’outil de balisage à cette page de démonstration créé par Aarons et Buchanan. Ou, vous pouvez consulter certains des effrayant exemples posté sur le web.
Cette faille est apparue quelques jours seulement après que l’équipe de sécurité de Google a découvert que les modems Samsung Exynos inclus dans les Pixel 6, Pixel 7 et certains modèles Galaxy S22 et A53 pouvaient permettre aux pirates de « compromettre à distance » les appareils en utilisant uniquement le numéro de téléphone de la victime. Google a depuis corrigé le problème dans sa mise à jour de mars, bien que cela ne soit toujours pas disponible pour les appareils Pixel 6, 6 Pro et 6A.