Síguenos F Y T I T R

Una vulnerabilidad en el editor de capturas de pantalla de Pixel puede desvelar la información sensible modificada

Archivo - Pixel 6 | GOOGLE - Archivo

| Madrid |

Un vulnerabilidad presente en el editor de capturas de pantalla de los teléfonos Pixel de Google pone en riesgo la información sensible que haya editado el usuario, al deshacer las modificaciones.

El boletín de seguridad de Android de marzo incluye la corrección de una vulnerabilidad calificada como de gravedad alta, CVE-2023-21036, identificada en el editor de capturas de pantalla de los teléfonos Pixel, Markup.

La vulnerabilidad ha recibido el nombre de 'aCropalypse', y fue descubierta en febrero por los investigadores de ciberseguridad Simon Aarons y David Buchanan, aunque no ha sido hasta este viernes que han compartido su explicación de forma pública.

Lo que hace que esta vulnerabilidad presente un riesgo algo de privacidad es que ?permite la recuperación parcial de los datos de imagen originales y sin editar de una captura de pantalla recortada o redactada?, como explica Aarons en su hilo explicativo de Twitter.

Esto significa que si se ha cortado una imagen tomada como captura de pantalla en PNG, por ejemplo, el número de una tarjeta bancaria, con el editor Markup, si esta se descarga de una plataforma digital como Discord, la modificación hecha puede desaparecer y mostrar la información sensible.

La vulnerabilidad, según explica Buchanan en su blog, no es nueva, sino que se retrotrae al lanzamiento de Markup con Android 9 Pie, en 2018, lo que pone en riesgo capturas de pantalla hechas en los últimos años en los teléfono Pixel y compartidas en plataformas digitales, dado que la solución de Google lo corrige para las capturas futuras.

Por otra parte, lo investigadores matizan que este fallo de seguridad depende también de la plataforma por la que se comparta la captura y la manera en que dicho sitio procesa las imágenes. El ejemplo de Aarons emplea Discord, donde la vulnerabilidad permite deshacer la edición de la imagen, mientras que en Twitter no es posible.

Lo más visto