Vulnérabilités de sécurité sur les Pixel 6 de Google
Les utilisateurs de Pixel 6 doivent être vigilants lorsque des vulnérabilités de sécurité sont découvertes sur leurs appareils. Bien que les correctifs de sécurité soient importants, ils ne résolvent pas toujours tous les problèmes.
Installation de la mise à jour QPR2
Google publiera demain la version stable de QPR2 pour les utilisateurs de Pixel 6, qui comprend le correctif de sécurité de mars. Bien que ceux qui ont installé la mise à jour QPR3 Beta 1 aient déjà le correctif de sécurité de mars, il reste des utilisateurs de la série Pixel 6 qui ne sont pas encore couverts.
La vulnérabilité de la puce modem Exynos
La vulnérabilité de la puce modem Exynos est liée à une faille permettant à un mauvais acteur de ne connaître qu’un numéro de téléphone pour accéder aux données entrantes et sortantes. Cette faille a été corrigée par le correctif de sécurité de mars, mais affecte toujours les utilisateurs qui n’ont pas encore installé la mise à jour.
La vulnérabilité de l’outil d’édition de capture d’écran du Pixel
Les rétro-ingénieurs Simon Aarons et David Buchanan ont découvert une vulnérabilité appelée « aCropalypse » qui affecte l’outil d’édition de capture d’écran du Pixel, connu sous le nom de Markup. Cette vulnérabilité peut permettre à un mauvais acteur d’annuler les modifications apportées aux captures d’écran PNG dans Markup.
Cette vulnérabilité est particulièrement inquiétante car Markup a été publié dans le cadre d’Android 9 Pie en 2018 et est utilisé pour recadrer, dessiner, ajouter du texte et mettre en surbrillance des captures d’écran. Par exemple, si vous avez pris une capture d’écran de votre carte de crédit sur le site Web de votre banque, vous pouvez masquer le numéro de carte à l’aide de l’outil de marqueur noir disponible via Markup. Cependant, si vous partagez cette image sur certaines plates-formes, la vulnérabilité peut permettre à l’attaquant de voir la majeure partie de la capture d’écran originale non modifiée.
La recouvrabilité des modifications annulées permet éventuellement de visualiser d’autres informations personnelles telles que des adresses, des numéros de téléphone et d’autres données privées. Cette vulnérabilité est liée à la façon dont Markup enregistre la capture d’écran originale pré-éditée et pré-recadrée dans le même emplacement de fichier que la capture d’écran modifiée, sans jamais supprimer l’image d’origine.
La plateforme Discord, qui n’a corrigé son site qu’en janvier 2022, est particulièrement vulnérable. Cela signifie que les images publiées sur la plateforme avant le 17 janvier pourraient être vulnérables.
Identification de la faille CVE-2023-21036
La faille a été désignée dans le correctif de sécurité de mars comme CVE-2023-21036. CVE signifie Common Vulnerabilities and Exposures et est utilisé pour identifier, cataloguer et promouvoir les failles.
Vérification grâce au site acropalypse.app
Il existe un site Web que vous pouvez utiliser sur acropalypse.app (ou appuyez sur ce lien) pour déterminer si une capture d’écran que vous avez précédemment partagée peut être exploitée. Étant donné que cette vulnérabilité est apparue pour la première fois il y a cinq ans, vous pourriez avoir des captures d’écran partagées que vous avez modifiées pour masquer certaines informations. Les données cachées peuvent être menacées en fonction de la plate-forme sur laquelle vous les avez partagées, même après avoir installé la mise à jour de sécurité de mars sur votre téléphone Pixel.
Conclusion
Les utilisateurs de Pixel 6 doivent être vigilants et s’assurer d’installer les correctifs de sécurité dès qu’ils sont disponibles. Malgré cela, les vulnérabilités peuvent toujours exister, donc il est important de rester informé et de prendre des mesures pour protéger vos données personnelles.
Source link -57