Une vulnérabilité récemment révélée pourrait révéler des détails précédemment expurgés à partir de captures d'écran si les modifications étaient effectuées à l'aide d'un appareil Pixel.
Une nouvelle vulnérabilité a été révélée par les chercheurs Simon Aarons et David Buchanan qui permet les détails à récupérer, si les captures d'écran ont été prises et que des modifications ont été apportées, à l'aide de l'outil d'édition de balisage trouvé sur Appareils Google Pixel. Bien que le problème ait été abordé dans le dernier Correctif de sécurité de mars, le problème persiste dans toutes les images et captures d'écran qui ont été partagées au fil des années avant ce patch.
Afin de montrer comment fonctionne cette vulnérabilité, Aarons a construit un site Web doté d'un outil qui vous permettra de tester le problème. Vous lui fournissez simplement une capture d'écran PNG modifiée à l'aide de l'outil de balisage Pixel, et il tentera de récupérer les données supplémentaires trouvées dans l'image. En ce qui concerne ce qui peut être récupéré, cela varie, mais cela peut aller de la suppression de détails obscurcis à la fourniture d'une plus grande partie de l'image en restaurant les parties qui ont été recadrées.
En ce qui concerne la raison pour laquelle cela s'est produit, apparemment, certaines modifications ont été apportées à Android 10 qui ont fait que les données originales des images modifiées restent dans le fichier. C’est pourquoi cette vulnérabilité peut toujours récupérer des images pour révéler des éléments précédemment masqués ou supprimés. Bien sûr, il s’agit d’une explication très basique, mais si vous souhaitez approfondir tous les détails de la façon dont tout cela fonctionne, vous pouvez vous diriger vers Le site de Buchanon.
Bien sûr, il reste le problème de toutes les images concernées envoyées au cours des dernières années. Pour la plupart, il n’y aura vraiment aucun moyen de localiser et de supprimer facilement ces fichiers une fois qu’ils ont été publiés sur Internet. Bien que Buchanon mentionne un script qu'il a créé pour lui-même et qui permettrait de trouver ce type d'images sur Discord, il n'a pas rendu l'outil public. En tant qu'utilisateur de Pixel, si vous avez mis à jour la dernière mise à jour de sécurité, vous avez fait à peu près tout ce que vous pouviez faire. Mais si vous avez déjà envoyé au monde des images contenant des informations sensibles expurgées, malheureusement, il y a encore de fortes chances que ces images voient leurs données révélées, alors soyez vigilant.
Source: Simon Aarons (Twitter), David Buchanon (Twitter)