Des chercheurs en sécurité ont découvert que les captures d’écran recadrées sur les appareils Google Pixel pouvaient être exploitées pour accéder aux données des utilisateurs, telles que les informations de connexion, les messages, les photos et autres informations bancaires.
Un correctif qui ne résout pas totalement le problème
Découverte par les rétro-ingénieurs Simon Aarons et David Buchanan, et depuis corrigée par Google, la vulnérabilité ne vient malheureusement pas résoudre le problème pour les captures d’écran modifiées déjà partagées en ligne avant la mise à jour. La faille en question, baptisée « aCropalypse », permet à quelqu’une de récupérer partiellement des captures d’écran PNG qui ont été éditées avec l’outil « Markup », installé par défaut sur les smartphones Google Pixel.
Vous pouvez être amenés à recadrer une capture d’écran ou recouvrir des informations avant de les partager. C’est souvent le cas lorsque vous ne voulez pas que votre nom, votre adresse email, votre numéro de téléphone ou vos informations bancaires apparaissent sur l’image en question. Des pirates utilisant l’exploit « Acropalypse » pourraient ainsi inverser certains des changements que vous avez effectués sur les captures d’écran pour obtenir des informations sensibles que vous pensiez avoir cachées.
Découvrez : Test du Pixel 7 Pro, Google donne une leçon à la concurrence
Comme le précisent Aarons et Buchanan, la faille en question existe car elle enregistre les captures d’écran au même endroit que celui des images modifiées, sans jamais supprimer la version d’origine. Le problème serait apparu à peu près au même moment que l’introduction de l’outil « Markup » avec Android 9 Pie. Une faille d’autant plus inquiétante que les images partagées sur les réseaux pendant depuis des années seraient encore vulnérables à cet exploit.
Certaines plateformes évitent cette faille, d’autres non
Certains sites comme Twitter retraitent les images avant qu’elles ne soient publiées sur le réseau social, ce qui permet d’enlever la vulnérabilité à cette faille. De son côté, Discord a corrigé cet exploit dans une mise à jour datant du 17 janvier. Malheureusement, les images partagées sur la plateforme avant cette date sont toujours exposées à ce risque.
Introducing acropalypse: a serious privacy vulnerability in the Google Pixel’s inbuilt screenshot editing tool, Markup, enabling partial recovery of the original, unedited image data of a cropped and/or redacted screenshot. Huge thanks to @David3141593 for his help throughout! pic.twitter.com/BXNQomnHbr
— Simon Aarons (@ItsSimonTime) March 17, 2023
Comme vous pouvez le voir sur l’image ci-dessus, on peut y voir une image recadrée d’une carte de crédit qui a été recadrée et publiée sur Discord. L’utilisateur veillé à cacher le numéro de carte sur la capture d’écran, mais Aarons est tout de même parvenu à l’afficher en exploitant la vulnérabilité Acropalypse.
En janvier 2023, Google a été alerté. L’entreprise a corrigé le problème dans la mise à jour de sécurité du mois de mars à destination des Pixel 4a, 5a, Pixel 7 et 7 Pro. On ne sait pas encore quand le correctif sera déployé sur les autres appareils Pixel.
À lire : L’une des plus grandes menaces d’Internet est de retour
Une faille qui intervient quelques jours seulement après que l’équipe de sécurité de Google découvre une faille de sécurité importante. Cette dernière concerne les modems Samsung Exynos des Pixel 6, Pixel 7 et de certains Galaxy S22 et A53. Elle permet aux pirates de compromettre les appareils à distance, en utilisant simplement le numéro de téléphone de leur victime.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : 9to5Google
Trop cool le smartphone Google Pixel