Wygląda na to, że po telefonach Pixel wbudowane w system Windows 11 narzędzie do zrzutów ekranu pozwala atakującym ujawnić informacje, które mogłeś wyciąć.
Ostatnio usłyszeliśmy o luka w narzędziu do zrzutów ekranu telefonów Pixel firmy Google, określany jako aCropalypse, który może skutkować ujawnieniem poufnych informacji poprzez zrzuty ekranu, nawet bez wiedzy użytkownika. Jak się okazuje, nie tylko Google ma ten problem, ponieważ ten sam problem występuje w aplikacji Snipping Tool w systemie Windows 11.
Jeśli nie znasz aCropalypse, jest to luka, która pozwala prawie każdemu cofnąć zmiany zrobiłeś na zrzucie ekranu, ujawniając informacje, które potencjalnie wyciąłeś lub zamazałeś w pliku zrzut ekranu. Edytując zrzut ekranu, możesz zapisać go pod tą samą nazwą co oryginalny plik, zastępując go. Jak się jednak okazuje, narzędzie do wycinania w systemie Windows 11 nie usuwa oryginalnych informacji z pliku, a jedynie pozostawia je dołączone na końcu w sposób zwykle niewidoczny dla użytkowników. Przy odrobinie sprytu potencjalny atakujący może odzyskać ukryte informacje z pliku i zobaczyć, jakie informacje zostały usunięte.
Po udostępnieniu pierwotnego odkrycia dotyczącego telefonów Pixel użytkownik Twittera Chris Blume podzielił się raportem, który sugerował, że to samo dzieje się w systemie Windows 11. Od tego czasu David Buchanan (który napisał oryginalny post na blogu wyjaśniający lukę w zabezpieczeniach telefonów Pixel) potwierdził że działa prawie dokładnie tak samo z narzędziem do wycinania w systemie Windows 11, chociaż aplikacja używa innego koloru Model. Możesz to sprawdzić, sprawdzając rozmiar pliku, ponieważ edytowane zrzuty ekranu będą prawdopodobnie znacznie większe ze względu na uwzględnienie informacji z oryginalnego obrazu.
Jest to dość poważna luka, biorąc pod uwagę, że nierzadko zdarza się, że użytkownicy wycinają lub zamazują poufne informacje na obrazach rzeczy, które chcesz udostępnić. Na przykład, jeśli udostępnisz zrzut ekranu strony potwierdzenia zamówienia w serwisie Amazon, może on zawierać Twój adres, a nawet jeśli je wytniesz, umożliwi to komuś potencjalne znalezienie tych informacji. Możesz zastosować tę logikę również do numerów kart kredytowych i innych wrażliwych danych.
Teraz, gdy luka została ujawniona, mamy nadzieję, że wkrótce zostanie wydana poprawka. Jednak Twoje istniejące edytowane zrzuty ekranu nadal będą miały wpływ, więc możesz wrócić i się im przyjrzeć wszystkiego, co mogłoby ujawnić dane osobowe, ponieważ napastnicy bez wątpienia będą szukać potencjału ofiary.
Źródło:Chris Blume (Twitter) I David Buchanan (Twitter)