Quand Google a commencé à déployer Android , la société a corrigé une vulnérabilité très grave liée à l’outil de capture d’écran de balisage de Pixel. pendant le weekend, et L’ingénieur inverse qui a découvert CVE-2023-21036.
En termes simples, la faille “aCropalypse” permettait à quelqu’un de prendre une capture d’écran PNG recadrée avec un balisage et d’annuler au moins certaines des modifications apportées à l’image. Il est facile d’imaginer des scénarios où une personne malveillante pourrait abuser de cette fonctionnalité. Par exemple, si le propriétaire d’un pixel utilisait un balisage pour modifier une image contenant des informations sensibles sur lui-même, quelqu’un pourrait exploiter la faille pour révéler ces informations. .
Présentation de l’acropalypse : une vulnérabilité de confidentialité critique dans Markup, l’outil d’édition de capture d’écran intégré de Google Pixel, permettant la récupération partielle des données d’image originales non modifiées pour les captures d’écran recadrées et/ou modifiées.un grand merci à @David 3141593 pour son aide ! pic.twitter.com/BXNQomnHbr
– Simon Aarons (@ItsSimonTime) 17 mars 2023
Selon Buchanan, la vulnérabilité existe depuis environ cinq ans, à peu près au moment où Markup a été publié. Et là est le problème. Un correctif de sécurité en mars empêche Markup de compromettre les futures images, mais certaines captures d’écran que les utilisateurs de Pixel ont pu partager dans le passé sont toujours à risque.
Il est difficile de dire à quel point les utilisateurs de Pixel devraient être préoccupés par cette faille. Partagé par Aarons et Buchanan et , certains sites Web, dont Twitter, traitent les images de telle manière que personne ne peut exploiter cette vulnérabilité pour inverser la modification des captures d’écran et des images. Les utilisateurs d’autres plateformes n’ont pas cette chance. Aarons et Buchanan identifient spécifiquement Discord, notant que l’application de chat n’avait pas corrigé l’exploit avant sa récente mise à jour du 17 janvier. À l’heure actuelle, on ne sait pas si les images partagées sur d’autres médias sociaux ou applications de chat ont subi des vulnérabilités similaires.
Google n’a pas immédiatement répondu au commentaire et à la demande d’Engadget pour plus d’informations. La mise à jour de sécurité de mars est désormais disponible pour les Pixel 4a, 5a, 7 et 7 Pro. Cela signifie que le balisage peut générer des images vulnérables sur certains appareils Pixel. On ne sait pas quand Google diffusera le correctif sur d’autres appareils Pixel. Si vous possédez un téléphone Pixel non patché, ne partagez pas d’images sensibles avec des balises.