La vulnérabilité d’Android aurait-elle été sous-estimée? Lorsque Google a déployé la mise à jour de sécurité de mars pour Android, la société a abordé une vulnérabilité de gravité « élevée » impliquant l’outil de capture d’écran Markup de Pixel. Mais qu’est-ce que cela signifie vraiment pour les utilisateurs de Pixel ?
En résumé, cette faille, appelée « aCropalypse », permettait à quelqu’un de prendre une capture d’écran PNG rognée dans Markup et d’annuler au moins une partie des modifications de l’image. On peut facilement imaginer des scénarios où un acteur malveillant pourrait abuser de cette capacité. Par exemple, si un propriétaire de Pixel utilisait Markup pour masquer une image contenant des informations sensibles sur lui-même, quelqu’un pourrait exploiter la faille pour révéler ces informations. Les détails techniques sont disponibles dans le blog de Buchanan.
La faille aCropalypse met en danger la sécurité des images passées et présentes sur les appareils Pixel.
Selon Buchanan, la faille existe depuis environ cinq ans, coïncidant avec la sortie de Markup en même temps que Android 9 Pie en 2018. Et c’est là que réside le problème. Si la mise à jour de sécurité de mars évitera à Markup de compromettre les images futures, certaines captures d’écran que les utilisateurs de Pixel ont pu partager par le passé sont toujours à risque.
Il est difficile de dire à quel point les utilisateurs de Pixel devraient être préoccupés par cette faille. Certains sites Web, dont Twitter, traitent les images de manière à ce que l’on ne puisse pas exploiter la vulnérabilité pour inverser la modification d’une capture d’écran ou d’une image. Les utilisateurs d’autres plateformes ne sont pas si chanceux. Aarons et Buchanan identifient spécifiquement Discord, notant que l’application de chat n’a corrigé l’exploit que lors de sa récente mise à jour du 17 janvier. Pour le moment, on ne sait pas si les images partagées sur d’autres réseaux sociaux et applications de chat étaient également vulnérables.
Google n’a pas immédiatement répondu à la demande de commentaire et d’informations supplémentaires d’Engadget. La mise à jour de sécurité de mars est actuellement disponible sur les Pixel 4a, 5a, 7 et 7 Pro, ce qui signifie que Markup peut encore produire des images vulnérables sur certains appareils Pixel. On ne sait pas quand Google poussera le correctif sur les autres appareils Pixel. Si vous possédez un téléphone Pixel sans le correctif, évitez d’utiliser Markup pour partager des images sensibles.
Source : Engadget
