Même si vous n'en avez jamais utilisé, vous savez probablement ce qu'est (ou était) un magnétoscope.
Court pour enregistreur de cassette vidéo, c'est ainsi que nous enregistrions et regardions des vidéos à la maison à l'époque où la vidéo numérique stockée sur des disques durs était le privilège absurdement coûteux des grandes entreprises, généralement des chaînes de télévision.
Les cassettes étaient de petits conteneurs en plastique qui contenaient deux bobines et une longue bande de bande d'enregistrement magnétique - un peu comme un disque dur à l'ancienne, mais avec la surface magnétique disposée en une longue bande de…
… Eh bien, de ruban adhésif en plastique, de 12.7 mm de large (c'est exactement 1/2″) et d'environ 100 m de long pour chaque heure d'enregistrement.
(Les bandes étaient vendues avec des identifiants tels que E-120, c'est-à-dire un enregistrement PAL ou SECAM, tel qu'utilisé dans la plupart des pays du monde, d'une durée de 120 minutes, ou T-180, pour trois heures d'enregistrement au format NTSC, la norme TV utilisée en Amérique du Nord et au Japon).
Les données restantes révélées à la fin
Peu d'émissions de télévision avaient exactement la longueur d'une bande, donc lorsque vous enregistriez une émission, il vous restait généralement au moins un peu de bande à la fin de la bobine, qui serait vierge.
Lorsque vous regardiez en arrière, disons, une émission de 45 minutes enregistrée sur une cassette E-60, vous obteniez 15 minutes de flou vidéo (communément appelé « statique ») si vous laissiez la bande tourner lorsque l'émission était terminée, jusqu'à ce que le magnétoscope détecta la fin de la bobine et rembobina obligeamment la cassette pour la prochaine fois.
À moins, bien sûr, que vous (ou l'ami qui vous avait prêté la cassette) l'ayez déjà utilisé et que vous ayez enregistré quelque chose de plus de 45 minutes…
… auquel cas vous finiriez par regarder la dernière partie de tout ce qui restait de la fois précédente, et quand cela s'est terminé, ce qui a été enregistré la fois précédente, ou la fois précédente, et ainsi de suite.
Vous obtenez l'image.
La transition n'a jamais été très propre, car le magnétoscope perdait généralement la trace du signal vidéo à la fin du premier enregistrement et lisait un méli-mélo de lignes obliques, des images partielles qui sautaient sur l'écran, des lavages de couleur flous. , et un mélange étrange et confus de différentes bandes sonores.
Pendant un certain temps, en tout cas.
En règle générale, cependant, le magnétoscope se "réalignerait" avec les données restantes de l'enregistrement précédent, se resynchroniserait avec l'ancien flux vidéo, et le non-sens incompréhensible à l'écran disparaîtrait.
Vous seriez projeté à la fin d'une émission de télévision inconnue, en train de regarder un enregistrement de vacances ou de visionner une autre sorte de vidéo personnelle, dont la plupart (mais pas toutes !) avaient été perdues lors de l'enregistrement.
En vérité, à moins que vous n'effaciez d'abord la totalité de la bande, avant d'enregistrer par-dessus, vous laisseriez presque toujours un contenu précédent inattendu, et peut-être indésirable, à la fin.
Le bogue "aCropalypse"
Eh bien, un chercheur britannique en cybersécurité appelé David Buchanan vient de publier un article à propos d'un bug de ce genre...
… dans l'outil de retouche d'image des téléphones Pixel de Google.
Le logiciel incriminé est apparemment connu sous le nom de Markup, et il vous permet de prendre des photos ou des captures d'écran qui sont déjà sur votre téléphone, et de les recadrer ou de les modifier pour supprimer les détails indésirables avant de les envoyer à vos amis ou de les télécharger sur des services en ligne.
Par exemple, vous voudrez peut-être rogner quelqu'un de l'image pour obliger sa demande à ne pas partager son visage, ou pour bloquer un nom d'utilisateur ou un identifiant de compte dans une capture d'écran du logiciel, ou pour masquer le numéro de maison de quelqu'un afin de ne pas le révéler. leur adresse.
Comme vous pouvez l'imaginer, en particulier lorsque vous recadrez une image pour réduire sa taille, le fichier image résultant finit souvent par être plus petit que celui que vous remplacez.
Le balisage, apparemment, traiterait des images plus petites qu'avant en écrivant la nouvelle image sur l'ancienne (comme votre père ou votre grand-père enregistrant le match de football de cette semaine sur le match sur la bande magnétoscopique de la semaine dernière), puis en tronquant le fichier image à sa nouvelle taille plus courte.
Les anciennes données – la fin du match de football de la semaine dernière, dans notre analogie avec le magnétoscope – resteraient sur le périphérique de stockage, mais elles ne feraient plus partie du fichier numérique contenant la nouvelle image.
En d'autres termes, lorsque vous avez ouvert le nouveau fichier, vous n'auriez pas le problème du magnétoscope d'y inclure du contenu d'image restant, car le système d'exploitation savait qu'il devait arrêter de lire (ou de copier) le fichier au bon endroit.
Les données restantes ne pourraient donc pas être accidentellement divulguées si vous envoyiez le nouveau fichier à quelqu'un d'autre ou que vous le téléchargiez sur un service cloud.
Un attaquant aurait généralement besoin d'un accès physique à votre téléphone, devrait savoir comment le déverrouiller et obtenir les privilèges root, et être capable de faire une image médico-légale de bas niveau des données inutilisées pour récupérer tout élément précédemment supprimé.
Sauf pour le bogue.
Tronquer ou ne pas tronquer ?
Comme Buchanan l'a découvert, la fonction de programmation Java utilisée par Markup pour "ouvrir le fichier existant en mode tronqué" (ce qui signifie que les données inutilisées restantes après la fin de la réécriture seraient supprimées de la fin du fichier)…
… a été changé, apparemment il y a environ deux ans, en "ouvrir en mode réécriture sans troncature une fois terminé".
En d'autres termes, si vous ouvriez l'ancien fichier et écriviez un seul octet au début avant de le fermer, le nouveau fichier ne serait pas long d'un octet avec le reste coupé, comme vous pourriez vous y attendre, mais serait l'ancien fichier, dans son intégralité, seul le premier octet étant modifié.
Le reste serait intact – pas du tout ce qui était prévu !
Comme Buchanan l'a découvert, même si les données restantes de la version précédente de l'image étaient incomplètes et seraient laissées seules si le fichier était ouvert avec une visionneuse d'images régulière (qui lirait autant que nécessaire et ignorerait les éléments supplémentaires à la fin)…
… vous pouvez néanmoins extraire ces données d'image restantes et souvent leur donner un sens, même si vous pouvez vous retrouver avec un flux de données compressées qui a commencé à mi-chemin d'un bloc compressé.
Comme ces bandes magnétoscopes, où le lecteur magnétoscope peut ne pas être en mesure de se synchroniser immédiatement avec l'enregistrement restant, un programme de décompression de fichiers PNG spécialement écrit peut ne pas être en mesure de donner un sens aux premiers morceaux de données restantes, mais peut souvent reconstruire blocs de l'image précédente qui ont suivi plus tard.
Comme ces cassettes VCR, où la partie restante ne vaut peut-être pas grand-chose à elle seule, vous ne pouvez jamais être tout à fait sûr de ce qui a été laissé, et quiconque fouillant dans vos fichiers peut parfois avoir de la chance avec les morceaux qu'ils ont réussi à reconstruire.
Cela signifie qu'ils pourraient découvrir des fragments d'image de la fin de la version précédente c'était exactement ce que vous aviez l'intention de supprimer.
En gros, plus vous recadriez et réduisiez le fichier d'origine, plus il restait de données restantes et plus il y avait de chances que certaines d'entre elles soient simplement ce que vous ne vouliez pas partager.
Que faire?
- Corrigez maintenant. Google a apparemment corrigé le programme Markup dans la mise à jour de sécurité d'Android de mars 2023. Vous pouvez suivre ce correctif avec l'identifiant CVE-2023-20136.
- Revisitez les images que vous avez déjà partagées. Les images que vous avez déjà recadrées et partagées sont trop tardives pour être corrigées. Mais vous voudrez peut-être envisager de les supprimer de toute façon ou de les remplacer par des images rééditées créées avec la version corrigée de Markup.
- Envisagez de modifier les images critiques pour la sécurité de manière prudente sur votre ordinateur portable. Les formats de fichiers tels que PNG peuvent également inclure des commentaires et des soi-disant métadonnées (par exemple, des informations de localisation ou des détails sur l'appareil photo) que vous n'avez jamais eu l'intention de partager, sans parler de conserver par inadvertance les pixels restants d'avant.
Outils de manipulation d'images en ligne de commande tels que ImageMagick or GraphiquesMagick, et des outils open source tels que Programme de manipulation d'images GNU, vous permettent de convertir des images modifiées dans des formats dont vous contrôlez précisément le contenu.
Par exemple, les fichiers RVB bruts incluent uniquement les valeurs de couleur de chaque pixel de l'image, sans en-têtes, métadonnées, champs de commentaires. ou d'autres informations ou pixels superflus.
Les fichiers RVB peuvent être énormes, car il n'y a pas de compression pour économiser de l'espace, mais cela signifie que vous ne perdez aucune qualité d'image lors de la conversion, même si vous perdez toutes les données qui ne font pas directement partie de l'image qui vous intéresse. dans.
Ainsi, transcoder une image au format RVB puis revenir, par exemple, au format PNG, est un moyen de s'assurer que vous créez un tout nouveau fichier qui "ne sait" rien de l'endroit ou de la manière dont l'image d'origine a été créée, ni des données désormais supprimées. il aurait pu contenir auparavant.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
- La source: https://nakedsecurity.sophos.com/2023/03/21/google-pixel-phones-had-a-serious-data-leakage-bug-heres-what-to-do/
- :est
- $UP
- 1
- 100M
- 2023
- a
- Capable
- Qui sommes-nous
- Absolute
- accès
- Compte
- propos
- Après
- Tous
- seul
- déjà
- toujours
- Amérique
- ainsi que les
- android
- chacun.e
- SONT
- autour
- arrangé
- AS
- At
- acoustique
- auteur
- auto
- RETOUR
- image de fond
- BE
- car
- before
- derrière
- va
- Bit
- vide
- Block
- Blocs
- frontière
- Bas et Leggings
- Punaise
- by
- appelé
- appareil photo
- CAN
- maisons
- Canaux centraux
- Chance
- fermeture
- le cloud
- CO
- Couleur
- commentaire
- commentaires
- communément
- Sociétés
- Considérer
- Conteneurs
- contenu
- des bactéries
- Conversion
- convertir
- copier
- pourriez
- cours
- couverture
- engendrent
- créée
- récolte
- Cybersécurité
- DA
- données
- fuite de données
- David
- jours
- affaire
- détails
- détecté
- dispositif
- différent
- numérique
- directement
- découvert
- Commande
- Ne pas
- e
- chacun
- édition
- se termine
- assurer
- Tout
- intégralité
- notamment
- Pourtant, la
- Chaque
- exactement
- exemple
- existant
- attendre
- cher
- supplémentaire
- extrait
- Visage
- few
- Des champs
- Déposez votre dernière attestation
- Fichiers
- Prénom
- Fixer
- suivi
- Football
- Pour
- Légal
- le format
- trouvé
- Ami
- amis
- de
- fonction
- jeu
- obtenez
- GIMP
- Donner
- plus grand
- Dur
- Vous avez
- têtes
- la taille
- Tenue
- Accueil
- HEURES
- Villa
- flotter
- Comment
- How To
- Cependant
- HTML
- HTTPS
- majeur
- ID
- identifiant
- image
- satellite
- immédiatement
- in
- comprendre
- inclus
- d'information
- instance
- intéressé
- IT
- SES
- lui-même
- Japon
- Java
- jpg
- juste un
- Genre
- Savoir
- connu
- portatif
- Nom de famille
- En retard
- Laisser
- Laissé pour compte
- Longueur
- Allons-y
- comme
- lignes
- emplacement
- Location
- plus long
- perdre
- a prendre une
- gérés
- Manipulation
- Mars
- Marge
- Match
- largeur maximale
- sens
- veux dire
- Métadonnées
- pourrait
- minutes
- Mode
- PLUS
- (en fait, presque toutes)
- Besoin
- nécessaire
- Néanmoins
- Nouveauté
- next
- Ordinaire
- Nord
- Amérique du Nord
- nombre
- of
- Vieux
- on
- ONE
- en ligne
- open source
- ouvert
- d'exploitation
- le système d'exploitation
- original
- Autre
- autrement
- propre
- partie
- paul
- être
- Téléphone
- téléphones
- PHP
- Physique
- image
- pixel
- Plastique
- Platon
- Intelligence des données Platon
- PlatonDonnées
- Jouez
- joueur
- Point
- position
- Poteaux
- précisément
- précédent
- précédemment
- privilèges
- Probablement
- Problème
- Programme
- Programmation
- publié
- qualité
- raw
- Lire
- en cours
- enregistré
- l'enregistrement
- Récupérer
- réduire
- Standard
- rester
- supprimez
- enlever
- nécessaire
- chercheur
- REST
- résultant
- retenue
- Révélé
- réécriture
- RGB
- racine
- pour le running
- Épargnez
- pour écran
- screenshots
- sécurité
- mise à jour de sécurité
- envoi
- sens
- grave
- service
- Services
- Partager
- commun
- montrer
- Spectacles
- Signal
- Taille
- petit
- faibles
- So
- Logiciels
- vendu
- solide
- quelques
- Quelqu'un
- quelque chose
- Space
- parlant
- Standard
- Commencer
- j'ai commencé
- DÉSINFECTANT
- Arrêter
- storage
- stockée
- courant
- Bande
- tel
- Surface
- SVG
- combustion propre
- Prenez
- qui
- Les
- le monde
- leur
- Les
- donc
- trois
- Avec
- fiable
- à
- trop
- outil
- les outils
- top
- TOTALEMENT
- suivre
- transition
- communication
- troncature
- tv
- tv show
- Stations de télévision
- typiquement
- Uk
- devoiler
- sous
- Inattendu
- ouvrir
- inutilisé
- indésirable
- Mises à jour
- téléchargé
- Téléchargement
- URL
- d'habitude
- vacances
- Valeurs
- version
- Vidéo
- Vidéos
- personne(s) regarde(nt) cette fiche produit
- Façon..
- Quoi
- qui
- tout en
- large
- comprenant
- des mots
- world
- vaut
- pourra
- écriture
- années
- Votre
- zéphyrnet