Une faille de sécurité affectant l’utilitaire d’édition de capture d’écran par défaut de Google Pixel, Markup, permet aux images de devenir partiellement “non éditées”, révélant potentiellement les informations personnelles que les utilisateurs ont choisi de cacher, comme l’ont déjà signalé 9to5Google et Android Police. La vulnérabilité, qui a été découverte par les rétro-ingénieurs Simon Aarons et David Buchanan, a depuis été corrigée par Google, mais a toujours des implications étendues pour les captures d’écran modifiées partagées avant la mise à jour.
Comme détaillé dans un fil Aaarons posté sur Twitter, la faille bien nommée “aCropalypse” permet à quelqu’un de récupérer partiellement les captures d’écran PNG éditées dans Markup. Cela inclut les scénarios où quelqu’un peut avoir utilisé l’outil pour recadrer ou griffonner son nom, son adresse, son numéro de carte de crédit ou tout autre type d’informations personnelles que la capture d’écran peut contenir. Un acteur malveillant pourrait exploiter cette vulnérabilité pour inverser certains de ces changements et obtenir des informations que les utilisateurs pensaient avoir cachées.
Dans une prochaine page de FAQ obtenue tôt par 9to5Google, Aarons et Buchanan expliquent que cette faille existe car Markup enregistre la capture d’écran d’origine dans le même emplacement de fichier que celui modifié et ne supprime jamais la version d’origine. Si la version modifiée de la capture d’écran est plus petite que l’original, “la partie finale du fichier d’origine est laissée après la fin du nouveau fichier”.
Selon Buchanan, ce bogue est apparu pour la première fois il y a environ cinq ans, à peu près au même moment où Google a introduit Markup avec la mise à jour Android 9 Pie. C’est ce qui aggrave la situation, car des années d’anciennes captures d’écran éditées avec Markup et partagées sur les plateformes de médias sociaux pourraient être vulnérables à l’exploit.
La page FAQ indique que si certains sites, dont Twitter, retraitent les images publiées sur les plateformes et les débarrassent de la faille, d’autres, comme Discord, ne le font pas. Discord vient tout juste de corriger l’exploit dans une récente mise à jour du 17 janvier, ce qui signifie que les images modifiées partagées sur la plate-forme avant cette date peuvent être à risque. Il n’est toujours pas clair s’il existe d’autres sites ou applications concernés et, le cas échéant, lesquels.
L’exemple publié par Aarons (intégré ci-dessus) montre une image recadrée d’une carte de crédit publiée sur Discord, dont le numéro de carte est également bloqué à l’aide du stylo noir de l’outil de balisage. Une fois qu’Aarons télécharge l’image et exploite la vulnérabilité aCropalypse, la partie supérieure de l’image est corrompue, mais il peut toujours voir les éléments qui ont été modifiés dans Markup, y compris le numéro de carte de crédit. Vous pouvez en savoir plus sur les détails techniques de la faille dans le billet de blog de Buchanan.
Après qu’Aarons et Buchanan aient signalé la faille (CVE-2023-21036) à Google en janvier, la société a corrigé le problème dans une mise à jour de sécurité de mars pour les Pixel 4A, 5A, 7 et 7 Pro avec sa gravité classée comme “élevée”. On ne sait pas quand cette mise à jour arrivera pour les autres appareils concernés par la vulnérabilité, et Google n’a pas immédiatement répondu à la demande de The Verge pour plus d’informations. Si vous voulez voir comment le problème fonctionne par vous-même, vous pouvez télécharger une capture d’écran modifiée avec une version non mise à jour de l’outil de balisage sur cette page de démonstration créée par Aarons et Buchanan. Ou, vous pouvez consulter certains des exemples effrayants publiés sur le Web.
Cette faille est apparue quelques jours seulement après que l’équipe de sécurité de Google a découvert que les modems Samsung Exynos inclus dans les Pixel 6, Pixel 7 et certains modèles Galaxy S22 et A53 pouvaient permettre aux pirates de “compromettre à distance” les appareils en utilisant uniquement le numéro de téléphone de la victime. Google a depuis corrigé le problème dans sa mise à jour de mars, bien que cela ne soit toujours pas disponible pour les appareils Pixel 6, 6 Pro et 6A.