Les ingénieurs Simon Aarons et David Buchanan ont révélé une faille de sécurité affectant l’utilitaire d’édition de captures d’écran par défaut du Google Pixel, Markup. Celle-ci permet aux images de devenir partiellement « non éditées », avec pour conséquence de révéler potentiellement les informations personnelles que les utilisateurs ont voulu cacher.
La vulnérabilité a déjà été corrigée par Google via une mise à jour. Malheureusement, cette modification n’a aucun effet sur les captures d’écran modifiées qui ont été partagées en ligne avant cette mise à jour.
Une faille existant depuis cinq ans
La faille a été baptisée « aCropalypse ». D’après les explications d’Aarons, cette dernière permet à un utilisateur de récupérer partiellement des captures d’écran au format PNG éditées dans Markup. Celui-ci peut avoir utilisé l’outil pour recadrer ou gribouiller son nom, son adresse, son numéro de carte de crédit ou tout autre type d’information personnelle que la capture d’écran peut contenir. Un individu mal intentionné pourrait exploiter ce bug pour annuler certaines de ces modifications et obtenir des informations que l’utilisateur pensait avoir cachées.
Buchanan indique que cette faille existe depuis environ cinq ans, et qu’ils l’ont signalée à Google en janvier dernier. Elle est apparue au moment où Google a introduit Markup avec la mise à jour Android 9 Pie. Cela signifie donc que des captures d’écran plus anciennes, éditées avec Markup et partagées sur les plateformes de médias sociaux, pourraient être vulnérables à l’exploit.
Correction via une mise à jour
Aarons et Buchanan expliquent que Markup enregistre la capture d’écran originale dans le même emplacement de fichier que la version éditée, alors qu’il ne supprime jamais la version originale. Si l’image modifiée de la capture d’écran est plus petite que l’original, « la partie restante du fichier original est laissée derrière, alors que le nouveau fichier est censé être terminé ».
Google a corrigé le bug dans une mise à jour de sécurité de mars pour les Pixel 4A, 5A, 7 et 7 Pro, avec une gravité classée comme « élevée ». On ignore encore quand cette modification sera disponible pour les autres appareils concernés. Certains sites et média sociaux, dont Twitter, débarrassent les images publiées de la faille. Discord n’a procédé à une mise à jour que le 17 janvier. Les autres pages Web ou applications touchées ne sont pas encore connues à ce jour.