Cette application de capture d’écran extrêmement populaire est un cauchemar de confidentialité

L’application Lightshot génère des URL faciles à deviner ou à gratter, ce qui rend alarmante facile pour quiconque de voir des prises de messages privés ou des photos intimes

Les gens sont sans le savoir se doxxing et la fuite de leurs propres informations privées sensibles à l’aide d’une application de capture d’écran populaire qui envoie les captures des gens sur le web. Les URL de dizaines de captures d’écran capturées par l’application sont facilement détectables en ligne, les laissant ouvertes aux grattoirs de données et aux criminels.

L’application lightshot screengrabbing, qui appartient à la société de développement de logiciels Skillbrains, est utilisée par des millions de personnes pour prendre et partager des images qu’elles capturent sur leurs ordinateurs et téléphones. Après avoir pris la capture d’écran, les gens ont la possibilité de télécharger leur image sur le serveur de l’entreprise avec une URL accessible au public. D’autres choix incluent l’enregistrer sur un bureau, ou le partager directement sur les médias sociaux.
L’option URL est destinée à permettre aux utilisateurs de partager leurs captures d’écran avec des amis, de la famille ou des collègues sur les plateformes de médias sociaux. Plus de deux milliards de captures d’écran ont été téléchargées via Lightshot, indique le site internet de l’entreprise. Mais la façon dont les URL sont générées crée un problème majeur de confidentialité.

Toutes les URL pour captures d’écran suivent un format simple : prnt.sc/ (le serveur de Lightshot), suivi d’un code alphanumérique à six chiffres. Cela signifie que n’importe qui peut taper des prnt.sc/ et une chaîne aléatoire de six numéros et/ou lettres, et potentiellement tomber sur la capture d’écran téléchargée par un autre utilisateur. En fait, beaucoup l’ont fait au cours des années qui se sont écoulés depuis sa sortie.

La première version stable de Lightshot a eu lieu en 2014, et depuis lors, l’application s’est ram ramée sur plusieurs navigateurs et systèmes d’exploitation. Il existe des applications Mac et Windows, ainsi que des extensions pour Chrome et Firefox. Il ya eu plus d’un million de téléchargements de l’extension Lightshot Chrome et 40.000 personnes utilisent la version Firefox. Sur Android, il a été téléchargé plus de 500 000 fois depuis le Play Store de Google.

WIRED a examiné les résultats de 11 000 URL Lightshot générées au hasard et a trouvé des renseignements personnels sensibles. La plupart des URL sont anodines ou tout simplement trouver des messages d’erreur indiquant que la capture d’écran a été supprimée ou ne peut plus être trouvé. Mais beaucoup incluent le contenu comprenant des noms, des adresses, des numéros de contact, des coordonnées bancaires et même des captures d’écran des appels vidéo intimes.

Un script de grattage automatique sur le Web a trouvé 529 images en direct sur les 11 000 URL générées. Environ 63 pour cent d’entre eux sont des captures d’écran de jeux vidéo, des instructions de codage, des listes d’appartements et ainsi de suite. Jusqu’à présent, jusqu’à présent ordinaire.

Environ 20 pour cent des images analysées comprennent des informations qui pourraient être utilisées pour voler l’identité de quelqu’un ou entrer par effraction dans d’autres comptes en ligne. Les gens ont partagé des saisies de journaux de chat, e-mails et messages sur les médias sociaux en utilisant des noms d’utilisateur identifiables.

L’analyse a montré que huit pour cent des captures d’écran publiques contenaient des renseignements personnels plus sensibles. Il s’agissait notamment de six nus capturés à partir d’appels vidéo; six captures d’écran des photos facebook privées des gens (certaines à partir de profils d’enfants); et 30 images contenant des noms, des informations de connexion, des informations bancaires, des numéros de téléphone, des adresses IP et d’expédition, et des numéros de boîte po.
« Rendre les données sensibles des utilisateurs ouvertement disponibles de cette manière crée un déséquilibre injuste lorsque les plateformes numériques profitent au prix de la vie privée des utilisateurs », explique Bhagya Wimalasiri, assistante de recherche au Security of Advanced Systems Group de l’Université de Sheffield. Wimalasiri ajoute que ces plates-formes sont construites sur des modèles qui monétisent la caractéristique même de l’insécurité – soit par l’exploration de données ou la création de fonctions utilisateur apparemment pratiques.

Skillbrains, les propriétaires de Lightshot, n’a pas répondu à de multiples demandes de commentaires. Toutefois, ses conditions de service soulignent que les images téléchargées ne sont pas privées. « Chaque image peut toujours être consultée et visualisée par toute personne qui tape cette URL exacte. Aucune image téléchargée sur ce site n’est jamais complètement cachée à la vue du public », disent les conditions de service. « La fonctionnalité de notre site Web n’est pas destinée à être une plate-forme sécurisée; c’est pour partager des images.

La possibilité de trouver des informations hautement sensibles téléchargées via Lightshot est un secret ouvert. Web-raclage est un exercice commun sur Lightshot et les gens ont téléchargé leurs propres scripts raclage à Github. Une personne a téléchargé une prise de 13 000 images Lightshot sur le site web de science des données Kaggle; d’autres outils prétendent analyser les captures d’écran et détecter ce qu’il y a dans chaque image.

Les conditions de service de Lightshot disent que les gens ne sont pas autorisés à télécharger des fichiers qui ont du contenu mature ou qui constitueraient des « abus » et violeraient les droits légaux d’autrui. Cependant, quand il s’agit de renseignements personnels des gens étant exposés, il n’y a pas beaucoup d’avertissements pour ceux qui sont à la recherche d’un moyen rapide de partager une prise de ce qui est sur leur écran. Ni l’interface utilisateur de l’outil Lightshot ni la page d’accueil de son site web n’indiquent clairement que tout ce qui y est téléchargé doit essentiellement être considéré comme public.

En se doxant accidentellement, les gens s’ouvrent à toute une série d’attaques. Avec les bonnes données, les criminels peuvent voler votre identité, retirer de l’argent de votre compte ou les cibler avec des attaques de phishing.
Les consommateurs et les entreprises sont responsables d’empêcher la mise à jour des renseignements personnels. Les gens devraient être conscients des compromis souvent invisibles entre la commodité et la vie privée et, avec un peu plus de soin, auto-surveiller le matériel qu’ils libèrent dans le web sauvage. Du côté du développement d’applications, le grattage pourrait être rendu beaucoup plus difficile en générant moins d’URL sur le plan de la formule. Demande à Parler.

Leave a Reply

Your email address will not be published. Required fields are marked *