Une faille de sécurité qui permettait aux images modifiées sur les téléphones Pixel de devenir partiellement non modifiées a été révélée par les rétro-ingénieurs qui l’ont découverte, Simon Aarons et David Buchanan.
Cependant la faille a depuis été corrigée, les captures d’écran modifiées qui ont été partagées avant la mise à jour sont toujours vulnérables.
Nommée”aCropalypse“, la faille permet à quelqu’un d’annuler et de récupérer partiellement l’édition de captures d’écran PNG à l’aide de l’outil de balisage intégré de Pixel.
Par exemple, si quelqu’un avait utilisé l’outil pour gribouiller écraser ou supprimer des informations sensibles telles que des adresses, des numéros de carte de crédit ou des soldes bancaires, un acteur malveillant pourrait exploiter cette faille pour annuler ces modifications et voir les informations que l’expéditeur pensait avoir déjà masquées.
Aarons et Buchanan expliquent :
Lorsqu’une image est recadrée à l’aide du balisage, elle enregistre la version modifiée dans le même emplacement de fichier que l’original. Cependant, il n’efface pas le fichier d’origine avant d’écrire le nouveau. Si le nouveau fichier est plus petit, la partie finale du fichier d’origine est laissée après la fin du nouveau fichier.
Vous pouvez voir comment cette faille fonctionne en allant à cette page de démonstration et en téléchargeant une capture d’écran qui a été modifiée avec la version non mise à jour de l’outil de balisage.
Selon Buchanan , cette faille a commencé il y a environ cinq ans lorsque Google a introduit le balisage avec Android 9 Pie.
Et bien que la faille ait été corrigée, il y a encore des années d’images vulnérables qui circulent encore entre temps.
La faille a été corrigée par Google dans une mise à jour de sécurité de mars pour les Pixel 4A, 5A, 7 et 7 Pro avec sa gravité classée comme”élevée”. Cependant, Google n’a pas dit si cette mise à jour arrivera pour d’autres appareils.
Les utilisateurs de Pixel sont naturellement inquiets et une page FAQ serait en préparation. Nous mettrons à jour cet article avec le lien une fois qu’il sera en ligne.
Source : Simon Aarons, David Buchanan via 9to5Google, The Verge