V Google Pixel byla objevena chyba zabezpečení, která umožňuje vrátit zpět změny provedené pomocí nástroje pro snímání obrazovky.

Google opravuje kritickou chybu zabezpečení ve svém nástroji pro úpravu snímků obrazovky. Během pěti let bylo možné vrátit zpět změny provedené na snímcích.

Když Google před několika dny začal uvádět svou březnovou bezpečnostní aktualizaci, společnost Mountain View opravila „vysokou“ zranitelnost související s nástrojem pro snímání obrazovky Pixel Markup společnosti Google . Tento víkend Simon Aarons a David Buchanan, inženýři, kteří objevili dotyčnou zranitelnost označenou jako CVE-2023-21036, sdíleli další podrobnosti a odhalili, že uživatelům Pixelů stále hrozí, že budou kvůli povaze zranitelnosti ohroženi jejich staré obrázky. jde o nedopatření ze strany společnosti Google.

Google opravuje kritickou chybu zabezpečení ve svém nástroji pro úpravu snímků obrazovky

Stručně řečeno, tato zranitelnost „aCropalypse“ umožnila útočníkovi pořídit oříznutý snímek obrazovky PNG v označení a vrátit zpět několik změn provedených v obrázku. Je snadné si představit scénáře, kdy by hacker mohl tuto funkci zneužít. Pokud například vlastník Pixelu použil označení ke skrytí osobních údajů na snímku obrazovky, někdo by mohl tuto chybu zabezpečení využít k odhalení těchto informací. Celý technický postup je podrobně popsán na blogu Davida Buchanana .

Podle posledně jmenovaného je tato chyba asi pět let, což se shoduje s vydáním Markup spolu s Androidem 9 Pie v roce 2018. A v tom spočívá problém. Březnová bezpečnostní oprava sice v budoucnu brání kompromitaci značkovacích obrázků, některé snímky obrazovky, které uživatelé Pixelu mohli v minulosti sdílet, jsou stále ohroženy.

Během pěti let bylo možné vrátit zpět změny provedené na snímcích.

Je těžké si představit, jak by se tito uživatelé měli obávat tohoto nedostatku. Podle manuálové stránky , kterou Simon Aarons a David Buchanan sdíleli s 9to5Google a The Verge, podle stránky nápovědy, kterou Simon Aarons a David Buchanan sdíleli s 9to5Google a The Verge, některé weby, včetně Twitteru, zpracovávají obrázky takovým způsobem, že nikdo nemůže zneužít zranitelnost a vrátit se zpět nebo provést více úprav snímku obrazovky nebo fotografie. Uživatelé jiných platforem ale měli méně štěstí. Simon Aarons a David Buchanan odkazují na Discord jako takový a upřesňují, že služba tento nedostatek neopravila až do své aktualizace 17. ledna. V současné době není známo, zda jsou obrázky hostované v jiných aplikacích pro zasílání zpráv a sociálních médií zranitelné.

Březnová bezpečnostní aktualizace je aktuálně k dispozici pro Pixel 4a, 5a, 7 a 7 Pro, což znamená, že značky mohou na některých zařízeních Google Pixel stále generovat zranitelné obrázky. Těžko říct, zda Mountain View nabídne opravu pro další zařízení Pixel. Pokud máte Pixel, který nemá aktualizaci, vyhněte se používání značek ke sdílení obrázků, které obsahují citlivá data.

Představujeme Acrocalypse: Vážná chyba ochrany soukromí ve vestavěném nástroji pro úpravu snímků obrazovky Google Pixel, Markup, umožňuje částečnou obnovu původních, neupravených obrazových dat oříznutého a/nebo upraveného snímku obrazovky. Velké díky @David3141593 za pomoc! pic.twitter.com/BXNQomnHbr

— Simon Aarons (@ItsSimonTime) 17. března 2023