Depois dos telefones Pixel, parece que a ferramenta de captura de tela integrada do Windows 11 também permite que invasores revelem informações que você pode ter cortado.
Recentemente, ouvimos falar de um vulnerabilidade na ferramenta de captura de tela dos telefones Pixel do Google, conhecido como aCropalypse, que pode resultar na revelação de informações confidenciais por meio de capturas de tela, mesmo sem que o usuário perceba. Acontece que o Google não é o único com esse problema, já que o aplicativo Snipping Tool no Windows 11 sofre do mesmo problema.
Se você não está familiarizado com o aCropalypse, é uma vulnerabilidade que permite que quase qualquer pessoa desfaça as edições que você fez em uma captura de tela, revelando informações que você potencialmente cortou ou desfocou em um captura de tela. Ao editar uma captura de tela, você pode salvá-la com o mesmo nome do arquivo original, substituindo-o. No entanto, ao que parece, a Ferramenta de Recorte do Windows 11 não exclui as informações originais do arquivo, apenas as deixa anexadas no final, de uma forma que normalmente não é visível para os usuários. Com alguns truques, um invasor em potencial pode recuperar as informações ocultas do arquivo e ver todas as informações que foram editadas.
Depois que a descoberta original foi compartilhada em relação aos telefones Pixel, o usuário do Twitter Chris Blume entrou na conversa com um relatório que sugeria que o mesmo estava acontecendo no Windows 11. Desde então, David Buchanan (que escreveu a postagem original do blog explicando a vulnerabilidade nos telefones Pixel) confirmou que funciona quase exatamente da mesma maneira com a Ferramenta de Recorte do Windows 11, embora o aplicativo use uma cor diferente modelo. Você pode verificar isso observando o tamanho do arquivo, pois as capturas de tela editadas provavelmente serão muito maiores devido à inclusão das informações da imagem original.
Esta é uma vulnerabilidade bastante séria, considerando que não é incomum que os usuários recortem ou desfoquem informações confidenciais em imagens de coisas que você deseja compartilhar. Por exemplo, se você compartilhar uma captura de tela de uma página de confirmação de pedido na Amazon, ela poderá incluir seu endereço, e mesmo que você a recorte, isso possibilita que alguém encontre essa informação de qualquer maneira. Você também pode aplicar essa lógica a coisas como números de cartão de crédito e outros dados confidenciais.
Agora que a vulnerabilidade foi revelada, esperamos que uma correção seja lançada em breve. No entanto, suas capturas de tela editadas ainda serão afetadas, então você pode querer voltar e dar uma olhada qualquer coisa que possa expor dados pessoais, já que os invasores sem dúvida procurarão possíveis vítimas.
Fonte:Chris Blume (Twitter) e David Buchanan (Twitter)