Раскрыта уязвимость Windows 11, подвергающая пользователей риску разглашения конфиденциальной информации

24-03-2023 22:08

Подвох от Snipping Tool

Так называемые «‎ножницы» — ценный и востребованный инструмент. С их помощью можно, получив статичное изображение экрана, убрать с него все лишнее. Например, персональную информацию, которую человек желает хранить в тайне, дальше используя отредактированную картинку по нужному назначению.

Но в Windows 11 именно в инструменте Snipping Tool выявлена серьезная уязвимость. Она даже получила специальное название — aCropalypse. Однако настораживает тот факт, что разработчики до сих пор от нее не избавились.

Snipping Tool vulnerability in Windows 11

Snipping Tool vulnerability in Windows 11

Суть бага заключается в том, что он самовольно отменяет те изменения, что вносит пользователь при редактировании. А именно, в картинке восстанавливаются обрезанные либо размытые части. Так как обычный человек, не подозревая о возможной проблеме, этого не заметит, то он рискует передать персональную информацию посторонним лицам. А это уже означает реальную угрозу, что конфиденциальные сведения попадут к мошенникам или к другим злоумышленникам.

Подробности об уязвимости

Технически все происходит следующим образом. Пользователь делает скриншот, а далее находит нужным его отредактировать. Если же впоследствии он сохраняет обработанное изображение под тем же названием, только перезаписав его, то получает не очень приятный сюрприз.

Как показала практика, Snipping Tool оставляет удаленную информацию в файле. Для пользователя это практически незаметно, поскольку она добавляется в конце. Но для потенциального злоумышленника не составит никакой сложности получить доступ к конфиденциальным данным, поскольку существуют хитрости, которые помогают извлечь такие сведения. Простыми словами, в то время как пользователь уверен, что удалил все, что важно хранить в тайне, на самом деле в файле остается персональная информация, только в скрытом виде.

Самостоятельно заподозрить неладное можно в том случае, если обратить внимание на размеры файлов после обработки. Хотя, по логике, они должны быть меньше, на деле содержат больше информации: сюда входят и те части, которые пользователь пытался удалить.

Удивительно, что разработчики не спешат исправить ошибку, ведь по факту уязвим каждый человек, который делится снимками в сети. Например, можно отправить страницу подтверждения заказа с уверенностью, что данные карт обрезаны. Однако потенциальный преступник легко получит к ним доступ.