Уразливість Windows 11 Snipping Tool може виявити конфіденційну інформацію на знімках екрана

Після телефонів Pixel схоже, що вбудований інструмент для створення скріншотів у Windows 11 також дозволяє зловмисникам розкривати інформацію, яку ви могли вирізати.

Нещодавно ми почули про а уразливість в інструменті створення скріншотів телефонів Google Pixel, відомий як aCropalypse, який може призвести до розкриття конфіденційної інформації через знімки екрана, навіть не усвідомлюючи цього користувачем. Як виявилося, Google не єдиний, хто має цю проблему, оскільки програма Snipping Tool у Windows 11 страждає від тієї ж проблеми.

Якщо ви не знайомі з aCropalypse, це вразливість, яка дозволяє майже будь-кому скасувати зміни ви зробили на знімку екрана, показуючи інформацію, яку ви потенційно вирізали або розмили в скріншот. Коли ви редагуєте знімок екрана, ви можете зберегти його під тим же ім’ям, що й оригінальний файл, перезаписавши його. Однак, як виявилося, Windows 11 Snipping Tool не видаляє вихідну інформацію з файлу, а просто залишає її доданою в кінці таким чином, який зазвичай не видно користувачам. За допомогою деяких хитрощів потенційний зловмисник може отримати приховану інформацію з файлу та побачити будь-яку інформацію, яку було відредаговано.

Після того, як було поширено оригінальне відкриття щодо телефонів Pixel, користувач Twitter Кріс Блюм додав доповідь, у якій припускає, що те ж саме відбувається з Windows 11. Відтоді Девід Б’юкенен (який написав оригінальну публікацію в блозі, в якій пояснює вразливість телефонів Pixel) підтвердив що він працює майже так само з Windows 11 Snipping Tool, хоча програма використовує інший колір модель. Ви можете перевірити це, переглянувши розмір файлу, оскільки відредаговані знімки екрана, ймовірно, будуть набагато більшими через включення інформації з вихідного зображення.

Автор зображення: Девід Бьюкенен (Twitter)

Це досить серйозна вразливість, враховуючи, що користувачі нерідко обрізають або розмивають конфіденційну інформацію на зображеннях речей, якими ви хочете поділитися. Наприклад, якщо ви поділитеся знімком екрана сторінки підтвердження замовлення на Amazon, він може містити вашу адресу, і навіть якщо ви її вирізали, це дає можливість комусь потенційно знайти цю інформацію в будь-якому випадку. Ви також можете застосувати цю логіку до таких речей, як номери кредитних карток та інші конфіденційні дані.

Тепер, коли вразливість відкрита, виправлення, сподіваюся, буде випущено найближчим часом. Однак це все одно вплине на наявні відредаговані знімки екрана, тож ви можете повернутися та переглянути будь-що, що може розкрити особисті дані, оскільки зловмисники, без сумніву, шукатимуть потенціал жертви.


Джерело:Кріс Блюм (Твіттер) і Девід Бьюкенен (Твіттер)