« Acropalypse », le nouveau cauchemar des utilisateurs de Google Pixel

Google Pixel 7


Une vulnérabilité a été découverte dans la fonctionnalité de capture d’écran des smartphones Pixel. Une faille de sécurité qui présente un risque important pour les utilisateurs des téléphones de Google.

Les chercheurs en sécurité ont découvert que les captures d’écran recadrées sur les appareils Google Pixel pouvaient être exploitées pour accéder aux données des utilisateurs, telles que les informations de connexion, les messages, les photos et autres informations bancaires.

Un correctif qui ne résout pas totalement le problème

Découverte par les rétro-ingénieurs Simon Aarons et David Buchanan, et depuis corrigée par Google, la vulnérabilité ne vient malheureusement pas résoudre le problème pour les captures d’écran modifiées déjà partagées en ligne avant la mise à jour. La faille en question, nommée « aCropalypse », permet à quelqu’une de récupérer partiellement des captures d’écran PNG qui ont été éditées avec l’outil « Markup », installé par défaut sur les smartphones Google Pixel.

Vous pouvez être amenés à recadrer une capture d’écran ou recouvrir des informations avant de les partager. C’est souvent le cas lorsque vous ne voulez pas que votre nom, votre adresse email, votre numéro de téléphone ou vos informations bancaires apparaissent sur l’image en question. Des pirates utilisant l’exploit « Acropalypse » pourraient ainsi inverser certains des changements que vous avez effectués sur les captures d’écran pour obtenir des informations sensibles que vous pensiez avoir cachées.

Découvrez : Test du Pixel 7 Pro, Google donne une leçon à la concurrence

Comme le précisent Aarons et Buchanan, la faille en question existe, car elle enregistre les captures d’écran au même endroit que celui des images modifiées, sans jamais supprimer la version d’origine. Le problème serait apparu à peu près au même moment que l’introduction de l’outil « Markup » avec Android 9 Pie. Une faille d’autant plus inquiétante que les images partagées sur les réseaux pendant depuis des années seraient encore vulnérables à cet exploit.

Certaines plateformes évitent cette faille, d’autres non

Certains sites comme Twitter retraitent les images avant qu’elles ne soient publiées sur le réseau social, ce qui permet d’enlever la vulnérabilité à cette faille. De son côté, Discord a corrigé cet exploit dans une mise à jour datant du 17 janvier. Malheureusement, les images partagées sur la plateforme avant cette date sont toujours exposées à ce risque.

Comme vous pouvez le voir sur l’image ci-dessus, on peut y voir une image recadrée d’une carte de crédit qui a été recadrée et publiée sur Discord. L’utilisateur veillé à cacher le numéro de carte sur la capture d’écran, mais Aarons est tout de même parvenu à l’afficher en exploitant la vulnérabilité Acropalypse.

En janvier 2023, Google a été alerté. L’entreprise a corrigé le problème dans la mise à jour de sécurité du mois de mars à destination des Pixel 4a, 5a, Pixel 7 et 7 Pro. On ne sait pas encore quand le correctif sera déployé sur les autres appareils Pixel.

À lire : L’une des plus grandes menaces d’Internet est de retour

Une faille qui intervient quelques jours seulement après que l’équipe de sécurité de Google découvre une faille de sécurité importante. Cette dernière concerne les modems Samsung Exynos des Pixel 6, Pixel 7 et de certains Galaxy S22 et A53. Elle permet aux pirates de compromettre les appareils à distance, en utilisant simplement le numéro de téléphone de leur victime.

Source :

9to5Google





Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.