Una vulnerabilidad registrada en los editores Snip & Ketch (Recortar y Anotar) de Windows 10 y Snipping Tool (Recortes) de Windows 11 pone en riesgo la información sensible que haya recortado y editado el usuario, debido a que deshace las modificaciones y muestra el contenido descartado.
Un fallo similar ocurre en el editor de capturas de pantalla de los móviles Google Pixel, que permite la recuperación parcial de los datos de imagen originales y sin editar de una captura de pantalla recortada o editada.
Los investigadores de ciberseguridad Simon Aarons y David Buchanan decubrieron una vulnerabilidad de gravedad alta, CVE-2023-21036, en el editor de capturas de pantalla de los teléfonos Pixel, Markup, a la que denominaron 'aCropalypse'.
Esta permitía la recuperación parcial de los datos originales y sin editar de una captura de pantalla recortada. De ese modo, si se ha cortado una imagen tomada como captura de pantalla en PNG y se sube a una plataforma digital, puede quedar a la vista la información sensible que se pretendía ocultar.
Buchanan ha anunciado ahora que una vulnerabilidad muy parecida a la registrada en los teléfonos de Google también ha llegado a la herramienta Recorte de Microsoft para Windows 11 y en Recortar y Anotar de Windows 10.
El investigador ha comentado que, si se hace una captura de pantalla con estas herramientas de Microsoft y se presiona el botón de Guardar con un recorte, se mantienen algunos datos en el archivo. Estos permitirían acceder al contenido de la imagen que haya sido cortado o descartado.
Buchanan, que ha señalado que la vulnerabilidad solo afecta al proceso de guardado de la captura de pantalla, recorte y de nuevo guardado, pero no a otra de las herramientas de edición de Windows 10, Recorte.
Can confirm.
— Will Dormann (@wdormann) March 21, 2023
Easy test:
1. Copy an image (to have a backup)
2. Open one with Snipping tool
3. Crop it to make it much smaller
4. Click the Save icon
5. Compare file sizes of cropped and original
6. Wonder about the world that you live in https://t.co/2V3totEqw6 pic.twitter.com/g19MTxlzN1
El fallo ha estado ahí años
Todo esto significa que si se ha cortado una imagen tomada como captura de pantalla en PNG, por ejemplo, el número de una tarjeta bancaria, si esta se descarga de una plataforma digital como Discord, la modificación hecha puede desaparecer y mostrar la información sensible.
La vulnerabilidad en los Pixel, según explica Buchanan en su blog, no es nueva, sino que se retrotrae al lanzamiento de Markup con Android 9 Pie, en 2018, lo que pone en riesgo capturas de pantalla hechas en los últimos años en los teléfonos y compartidas en plataformas digitales, dado que la solución de Google lo corrige para las capturas futuras.
Por otra parte, lo investigadores matizan que este fallo de seguridad depende también de la plataforma por la que se comparta la captura y la manera en que dicho sitio procesa las imágenes. El ejemplo de Aarons emplea Discord, donde la vulnerabilidad permite deshacer la edición de la imagen, mientras que en Twitter no es posible.
Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.
Comentarios
Hemos bloqueado los comentarios de este contenido. Sólo se mostrarán los mensajes moderados hasta ahora, pero no se podrán redactar nuevos comentarios.
Consulta los casos en los que 20minutos.es restringirá la posibilidad de dejar comentarios