La vulnérabilité du Google Pixel expose des informations sensibles à des personnes mal intentionnées en révélant des modifications et des expurgations de captures d’écran.

Les télé­phones Pix­el de Google sont générale­ment loués pour leurs fonc­tions de sécu­rité, mais une vul­néra­bil­ité récem­ment décou­verte met la vie privée des util­isa­teurs en dan­ger. Selon les rap­ports, une faille dans l’outil de cap­ture d’écran Markup de Pix­el pour­rait per­me­t­tre à des acteurs malveil­lants d’an­nuler les mod­i­fi­ca­tions et les expur­ga­tions apportées aux images.

La faille, bap­tisée “aCropa­lypse”, a été décou­verte par les ingénieurs invers­es Simon Aarons et David Buchanan et existe depuis au moins cinq ans, coïn­ci­dant avec la sor­tie de Markup avec Android 9 Pie en 2018.

Si elle est exploitée, la vul­néra­bil­ité pour­rait révéler des infor­ma­tions sen­si­bles qui ont été précédem­ment expurgées par un util­isa­teur. Par exem­ple, si un pro­prié­taire de Pix­el a util­isé Markup pour expurg­er une image con­tenant des infor­ma­tions sen­si­bles le con­cer­nant, quelqu’un pour­rait exploiter la faille pour révéler ces informations.

Le cor­rec­tif de sécu­rité de mars empêchera Markup de com­pro­met­tre les images futures, mais cer­taines cap­tures d’écran que les util­isa­teurs de Pix­el ont pu partager par le passé sont tou­jours à risque.

La vul­néra­bil­ité est par­ti­c­ulière­ment préoc­cu­pante parce qu’elle existe depuis longtemps et que Google n’a pas encore pub­lié de cor­rec­tif pour tous les appareils Pix­el.

Actuelle­ment, la mise à jour de sécu­rité de mars n’est disponible que sur les Pix­el 4a, 5a, 7 et 7 Pro, ce qui sig­ni­fie que Markup peut encore pro­duire des images vul­nérables sur cer­tains appareils Pix­el. On ne sait pas encore quand Google dif­fusera le cor­rec­tif sur les autres appareils Pixel.

Les util­isa­teurs de cer­taines plate­formes, comme Twit­ter, sont pro­tégés de la vul­néra­bil­ité. Cepen­dant, d’autres, comme Dis­cord, qui n’a pas cor­rigé l’ex­ploit avant sa récente mise à jour du 17 jan­vi­er, sont tou­jours à risque.

On ne sait pas si les images partagées sur d’autres médias soci­aux et appli­ca­tions de chat ont été ren­dues vul­nérables de la même manière.

Google n’a pas encore com­men­té le prob­lème, mais les experts en sécu­rité con­seil­lent aux util­isa­teurs de Pix­el d’éviter d’u­tilis­er Markup pour partager des images sen­si­bles jusqu’à ce que le cor­rec­tif soit pub­lié pour tous les appareils.

Compte tenu de la quan­tité crois­sante d’in­for­ma­tions per­son­nelles stock­ées sur les appareils mobiles, les vul­néra­bil­ités comme celle-ci rap­pel­lent bru­tale­ment l’im­por­tance de mesures de sécu­rité solides.