Luka w zabezpieczeniach wpływająca na domyślne narzędzie do edycji zrzutów ekranu Google Pixel, Markup, pozwala na częściowe „nieedytowanie” obrazów, potencjalnie ujawniając dane osobowe, które użytkownicy zdecydowali się ukryć, ponieważ zauważony wcześniej przez 9to5Google I Policja Androida. Luka, która była odkryte przez inżynierów wstecznych Simon Aaarons i David Buchanan, zostały już załatane przez Google, ale nadal mają szerokie implikacje dla edytowanych zrzutów ekranu udostępnionych przed aktualizacją.
Jak wyszczególniono w wątek, który Aaarons opublikował na Twitterze, luka o trafnej nazwie „aCropalypse” umożliwia częściowe odzyskanie zrzutów ekranu PNG edytowanych w znacznikach. Obejmuje to scenariusze, w których ktoś mógł użyć narzędzia do przycięcia lub wykreślenia swojego imienia i nazwiska, adresu, numeru karty kredytowej lub jakichkolwiek innych danych osobowych, które może zawierać zrzut ekranu. Zły aktor mógłby wykorzystać tę lukę, aby cofnąć niektóre z tych zmian i uzyskać informacje, które użytkownicy myśleli, że ukrywali.
W nadchodzącym Strona z często zadawanymi pytaniami uzyskany wcześnie przez 9to5Google, Aarons i Buchanan wyjaśniają, że ta wada istnieje, ponieważ Markup zapisuje oryginalny zrzut ekranu w tej samej lokalizacji pliku, co edytowany i nigdy nie usuwa oryginalnej wersji. Jeśli edytowana wersja zrzutu ekranu jest mniejsza niż oryginał, „końcowa część oryginalnego pliku zostaje pozostawiona po tym, jak nowy plik powinien się zakończyć”.
Według do Buchanana, ten błąd pojawił się po raz pierwszy około pięć lat temu, mniej więcej w tym samym czasie, gdy Google wprowadził znaczniki wraz z aktualizacją Androida 9 Pie. To właśnie pogarsza sytuację, ponieważ starsze zrzuty ekranu edytowane za pomocą Markup i udostępniane na platformach społecznościowych mogą być podatne na exploit.
Na stronie z często zadawanymi pytaniami stwierdza się, że podczas gdy niektóre witryny, w tym Twitter, ponownie przetwarzają obrazy opublikowane na platformach i usuwają z nich wadę, inne, takie jak Discord, tego nie robią. Discord dopiero co załatał exploita w ostatniej aktualizacji z 17 stycznia, co oznacza, że edytowane obrazy udostępnione na platformie przed tą datą mogą być zagrożone. Nadal nie jest jasne, czy istnieją inne witryny lub aplikacje, których to dotyczy, a jeśli tak, to które.
Przykład opublikowany przez Aaronsa (wstawiony powyżej) pokazuje przycięty obraz karty kredytowej wysłanej do Discord, na której numer karty jest również zablokowany za pomocą czarnego pióra narzędzia Markup. Gdy Aarons pobierze obraz i wykorzysta lukę w zabezpieczeniach aCropalypse, górna część obrazu zostanie uszkodzona, ale nadal będzie mógł zobaczyć fragmenty, które zostały usunięte w znacznikach, w tym numer karty kredytowej. Możesz przeczytać więcej o szczegółach technicznych usterki w Wpis na blogu Buchanana.
Po tym, jak Aarons i Buchanan zgłosili błąd (CVE-2023-21036) do Google w styczniu, firma załatała problem w marcu aktualizacja zabezpieczeń dla Pixela 4A, 5A, 7 i 7 Pro z jego dotkliwością sklasyfikowaną jako „wysoka”. Nie jest jasne, kiedy ta aktualizacja pojawi się na innych urządzeniach dotkniętych luką, a Google nie odpowiedział natychmiast Krawędźprośba o więcej informacji. Jeśli chcesz zobaczyć, jak działa ten problem, możesz przesłać zrzut ekranu edytowany za pomocą niezaktualizowanej wersji narzędzia do oznaczania do tej strony demonstracyjnej stworzony przez Aaronsa i Buchanana. Lub możesz sprawdzić niektóre z nich straszny przykłady zamieszczone w sieci.
Ta wada wyszła na jaw zaledwie kilka dni po tym, jak zespół bezpieczeństwa Google odkrył, że modemy Samsung Exynos zawarte w modelach Pixel 6, Pixel 7 oraz wybranych modelach Galaxy S22 i A53 może pozwolić hakerom na „zdalne włamanie się” do urządzeń używając tylko numeru telefonu ofiary. Od tego czasu Google załatało problem w swojej marcowej aktualizacji, chociaż nadal nie jest to jeszcze dostępne dla urządzeń Pixel 6, 6 Pro i 6A.