Windows 11 Snipping Tool haavatavus võib ekraanipiltidel paljastada tundlikku teavet

Pärast Pixeli telefone näib, et Windows 11 sisseehitatud ekraanipildi tööriist võimaldab ka ründajatel avaldada teavet, mille olete välja kärpinud.

Hiljuti kuulsime a haavatavus Google'i Pixeli telefonide ekraanipildi tööriistas, mida nimetatakse aCropalypsiks, mille tulemuseks võib olla tundliku teabe kuvamine ekraanipiltide kaudu isegi ilma, et kasutaja seda mõistaks. Nagu selgub, pole Google selle probleemiga ainus, kuna Windows 11 rakendus Snipping Tool kannatab sama probleemi all.

Kui te pole aCropalypsiga tuttav, on see haavatavus, mis võimaldab peaaegu kõigil muudatusi tagasi võtta mille olete ekraanipildil teinud, paljastades teabe, mille olete potentsiaalselt välja kärpinud või häguseks teinud. ekraanipilt. Ekraanipildi redigeerimisel võite selle salvestada sama nimega nagu algne fail, kirjutades selle üle. Kuid nagu selgub, ei kustuta Windows 11 Snipping Tool failist algset teavet, vaid jätab selle lihtsalt lõppu lisatud viisil, mis pole tavaliselt kasutajatele nähtav. Mõne trikiga saab potentsiaalne ründaja failist peidetud teabe kätte saada ja vaadata, mis teavet on välja redigeeritud.

Pärast seda, kui Pixeli telefonide kohta algset avastust jagati, andis Twitteri kasutaja Chris Blume teada, et sama juhtus ka Windows 11-ga. Sellest ajast alates kinnitas David Buchanan (kes kirjutas algse ajaveebipostituse, mis selgitas Pixeli telefonide haavatavust) et see töötab peaaegu täpselt samamoodi Windows 11 Snipping Tooliga, kuigi rakendus kasutab teist värvi mudel. Saate seda kontrollida faili suurust vaadates, kuna muudetud ekraanipildid on tõenäoliselt palju suuremad, kuna kaasatakse algkujutise teave.

Pildi krediit: David Buchanan (Twitter)

See on üsna tõsine haavatavus, arvestades, et kasutajad kärbivad või hägustab tundlikku teavet piltidelt asjadest, mida soovite jagada. Näiteks kui jagate Amazoni tellimuse kinnituslehe ekraanipilti, võib see sisaldada teie aadressi, ja isegi kui te selle välja lõite, võimaldab see kellelgi selle teabe niikuinii leida. Saate seda loogikat rakendada ka sellistele asjadele nagu krediitkaardinumbrid ja muud tundlikud andmed.

Nüüd, kui haavatavus on avalikult väljas, peaks loodetavasti peagi välja tulema parandus. Siiski mõjutab see endiselt teie olemasolevaid redigeeritud ekraanipilte, nii et võite minna tagasi ja vaadata neid kõike, mis võib paljastada isikuandmeid, sest ründajad otsivad kahtlemata potentsiaali ohvrid.


Allikas:Chris Blume (Twitter) ja David Buchanan (Twitter)