Une vulnérabilité a été discovered in the fonctionnalité de capture d’écran of the smartphone Pixel. Une faille de sécurité qui presente un risque important pour les utilisateurs des téléphones de Google.
Les chercheurs en sécurité ont découvert que les captures d’écran recadrées sur les appareils Google Pixel may être exploitées pour accéder aux données des utilisateurs, telles que les informations de connection, les messages, les photos et autres informations bancaires.
Un correctif qui ne résout pas totalement le problem
Discovered by the retro-engineers Simon Aarons and David Buchanan, and corrected by Google, the vulnerability to the present malheureusement pas résoudre le problem pour les captures d’écran modifiées déjà partagées en ligne avant la mise à jour. La faille en question, called “aCropalypse”, permet à quelqu’une de récupérer partialment des captures d’écran PNG qui ontété éditées avec l’outil “Markup”, installé par défaut sur les smartphones Google Pixel.
You must be careful to record and capture the information or retrieve the information from the partager. C’est souvent le cas lorsque vous ne voulez pas que votre nom, votre adresse email, votre numéro de téléphone ou vos informations bancaires apparaissent sur l’image en question. Des pirates exploited the exploit “Acropalypse” pourraient ainsi inverser certains des changesments que vous avez effectués sur les captures d’écran pour obtenir des informations sensibles que vous pensiez avoir cachées.
Decouvrez : Test you Pixel 7 Pro, Google donne one leçon à la competition
Comme le précisent Aarons et Buchanan, la faille en question existe, car elle enregistre les captures d’écran au même endroit que celui des images modifiées, sans jamais suppresser la version d’origine. The problem appears when you see the introduction to the “Markup” tool with Android 9 Pie. A faille d’autant plus inquiétante que les images partagées sur les réseaux pendant depuis des années seraient encore vulnerables à cet exploit.
Certaines plateformes évitent cette faille, d’autres non
Certain sites like Twitter retraitent the images avant qu’elles ne soient publiées sur le réseau social, ce qui permet d’enlever la vulnérabilité à cette faille. De son côté, Discord a corrigé that exploit dans une mise à jour datant du 17 january. Malheureusement, the images partagées on the plateforme avant cette date sont toujours exposées à ce risque.
Introducing acropalypse: a serious privacy vulnerability in the Google Pixel’s inbuilt screenshot editing tool, markup, enabling partial recovery of the original, unedited image data of a cropped and/or redacted screenshot. Huge thanks to @David3141593 for his help throughout! pic.twitter.com/BXNQomnHbr
— Simon Aarons (@ItsSimonTime) March 17, 2023
Comme vous pouvez le voir sur l’image ci-dessus, on peut y voir une image recadrée d’une carte de credit qui a été recadrée et publiée sur Discord. L’utilisateur veillé à cacher le numero de carte sur la capture d’écran, mais Aarons est all de meme parvenu à l’afficher en exploitant the vulnérabilité Acropalypse.
En January 2023, Google a été alerté. The enterprise to correct the problem in the mise à jour de security du mois de mars à destination of the Pixel 4a, 5a, Pixel 7 and 7 Pro. On ne said pas encore quand le correctif sera deployed on les other appareils pixels.
A lire : L’une des plus grandes menaces d’Internet est de retour
Une faille qui intervient quelques jours seulement après que l’équipe de sécurité de Google découvre une faille de sécurité importante. This is the case with Samsung Exynos modems, Pixel 6, Pixel 7 and certain Galaxy S22 and A53. Elle permet aux pirates de comprometter les appareils à distance, en utilisant simplement le numéro de téléphone de leur victime.
9to5Google
