L’exploit « aCropalypse » de Google Pixel annule les events modifiées des captures d’écran

Une faille de sécurité affectant l’utilitaire d’édition de seize d’écran par défaut de Google Pixel, Markup, permet aux pictures de devenir partiellement « non éditées », révélant potentiellement les informations personnelles que les utilisateurs ont choisi de cacher, comme repéré plus tôt par 9to5Google et Police androïde. La vulnérabilité, qui était découverte par des rétro-ingénieurs Simon Aarons et David Buchanan, ont depuis été corrigés par Google, mais ont toujours des implications étendues pour les captures d’écran modifiées partagées avant la mise à jour.

Comme détaillé dans un fil Aarons posté sur Twitter, la faille bien nommée « aCropalypse » permet à quelqu’un de récupérer partiellement des captures d’écran PNG éditées dans Markup. Cela inclut les scénarios où quelqu’un peut avoir utilisé l’outil pour recadrer ou griffonner son nom, son adresse, son numéro de carte de crédit ou tout autre sort d’informations personnelles que la seize d’écran peut contenir. Un acteur malveillant pourrait exploiter cette vulnérabilité pour inverser certains de ces changements et obtenir des informations que les utilisateurs pensaient avoir cachées.

Dans un prochain FAQ obtenu tôt par 9to5Google, Aarons et Buchanan expliquent que cette faille existe automotive Markup enregistre la seize d’écran d’origine dans le même emplacement de fichier que celui modifié et ne supprime jamais la model d’origine. Si la model modifiée de la seize d’écran est plus petite que l’unique, « la partie finale du fichier d’origine est laissée après la fin du nouveau fichier ».

Selon à Buchanan, ce bogue est apparu pour la première fois il y a environ cinq ans, à peu près au même second où Google a introduit Markup avec la mise à jour Android 9 Pie. C’est ce qui aggrave la scenario, automotive des années d’anciennes captures d’écran éditées avec Markup et partagées sur les plateformes de médias sociaux pourraient être vulnérables à l’exploit.

La web page FAQ indique que si certains websites, dont Twitter, retraitent les pictures publiées sur les plateformes et les débarrassent de la faille, d’autres, comme Discord, ne le font pas. Discord vient tout juste de corriger l’exploit dans une récente mise à jour du 17 janvier, ce qui signifie que les pictures modifiées partagées sur la plate-forme avant cette date peuvent être à risque. Il n’est toujours pas clair s’il existe d’autres websites ou purposes concernés et, le cas échéant, lesquels.

L’exemple publié par Aarons (intégré ci-dessus) montre une picture recadrée d’une carte de crédit publiée sur Discord, dont le numéro de carte est également bloqué à l’aide du stylo noir de l’outil de balisage. Une fois qu’Aarons télécharge l’picture et exploite la vulnérabilité aCropalypse, la partie supérieure de l’picture est corrompue, mais il peut toujours voir les éléments qui ont été modifiés dans Markup, y compris le numéro de carte de crédit. Vous pouvez en savoir plus sur les détails strategies de la faille dans Article de weblog de Buchanan.

Après qu’Aarons et Buchanan aient signalé la faille (CVE-2023-21036) à Google en janvier, la société a corrigé le problème en mars. mise à jour de sécurité pour les Pixel 4A, 5A, 7 et 7 Professional avec sa gravité classée comme « élevée ». On ne sait pas quand cette mise à jour arrivera pour les autres appareils concernés par la vulnérabilité, et Google n’a pas immédiatement répondu à Le bordpour plus d’informations. Si vous voulez voir remark le problème fonctionne par vous-même, vous pouvez télécharger une seize d’écran modifiée avec une model non mise à jour de l’outil de balisage à cette web page de démonstration créé par Aarons et Buchanan. Ou, vous pouvez consulter certains des effrayant exemples posté sur le internet.

Cette faille est apparue quelques jours seulement après que l’équipe de sécurité de Google a découvert que les modems Samsung Exynos inclus dans les Pixel 6, Pixel 7 et certains modèles Galaxy S22 et A53 pourrait permettre aux pirates de « compromettre à distance » les appareils en utilisant uniquement le numéro de téléphone de la victime. Google a depuis corrigé le problème dans sa mise à jour de mars, bien que cela ne soit toujours pas disponible pour les appareils Pixel 6, 6 Professional et 6A.