Les failles de sécurité prennent parfois des formes improbables, comme celle découverte au début de l'année sur Android avec l'outil de Google pour éditer des captures d'écran. Ces modifications peuvent être annulées par le destinataire qui verra la capture dans sa version originale. Découvrant ainsi ce que vous aviez voulu enlever ou masquer dans l'image.
La faille a été baptisée "acropalypse" par David Buchanan et Simon Aarons car elle passe par l'outil de recadrage (crop) de l'app Markup de Google sur ses Pixel. Cet utilitaire de retouche s'ouvre après une capture d'écran. La faille peut aussi se manifester après que l'utilisateur a flouté une partie de l'image avec le même utilitaire.
Une fois la capture transmise, il y a un risque que le destinataire puisse annuler tout ou partie des modifications effectuées et voir l'image de départ. On peut vouloir recadrer une capture pour la recentrer autour d'un élément important, mais aussi pour enlever une information comme un numéro de téléphone, une adresse, un numéro de carte, etc.
Dans l'exposé du problème, il y a le cas d'une carte de paiement dont le numéro a été barré d'un trait noir et qui réapparaît ensuite parfaitement lisible. Les deux chercheurs ont constaté qu'après avoir été manipulée, l'image est réécrite, mais les données retirées sont néanmoins conservées. Ce bug est ancien, il était là dès la sortie de l'utilitaire de retouche de captures dans Android 9 en 2018.
Immatriculée CVE-2023-21036, la faille a été signalée à Google en janvier et sa correction a fait partie d'un lot de mises à jour de sécurité début mars. Toutefois, les séquelles n'ont pas toutes disparu.
Et d'une, ce correctif n'a pour l'heure été distribué qu'en direction des Pixel 4a, 5a et 7/7 Pro. Et de deux, les anciennes captures modifiées avant ce correctif sont toujours susceptibles d'être restaurées dans leur état d'origine. Un outil de test a été mis en ligne pour vérifier si une capture rognée ou au contenu caviardé contient encore les données supposément effacées.
Enfin, certains services en ligne retraitent les images qu'on veut publier, et cette moulinette supprime ces données fantômes. C'est le cas pour Twitter, notent les chercheurs. Par contre, ils ont remarqué qu'une capture échangée sur Discord gardait toutes ses propriétés, avec des risques plus ou moins importants selon la nature des infos retirées de l'image.
