Se ha descubierto una vulnerabilidad en Google Pixel que permite deshacer los cambios realizados con la herramienta de captura de pantalla.

Google corrige una vulnerabilidad crítica en su herramienta de edición de capturas de pantalla. En cinco años, fue posible deshacer los cambios realizados en las imágenes.

Cuando Google comenzó a implementar su actualización de seguridad de marzo hace unos días, la firma de Mountain View reparó una vulnerabilidad «alta» relacionada con la herramienta de captura de pantalla Pixel Markup de Google . Este fin de semana, Simon Aarons y David Buchanan, los ingenieros que descubrieron la vulnerabilidad en cuestión, identificada como CVE-2023-21036, compartieron más detalles y revelaron que los usuarios de Pixel aún corren el riesgo de ver sus imágenes antiguas comprometidas debido a la naturaleza de la vulnerabilidad. esto es un descuido por parte de Google.

Google corrige una vulnerabilidad crítica en su herramienta de edición de capturas de pantalla

En resumen, esta vulnerabilidad «aCropalypse» permitió a un atacante tomar una captura de pantalla recortada de un PNG en el marcado y deshacer varios cambios realizados en la imagen. Es fácil imaginar escenarios en los que un pirata informático podría abusar de esta función. Por ejemplo, si el propietario de un Pixel usó marcas para ocultar información personal en una captura de pantalla, alguien podría usar esa vulnerabilidad para revelar esa información. Todo el procedimiento técnico está detallado en el blog de David Buchanan .

Según este último, este fallo existe desde hace unos cinco años, coincidiendo con el lanzamiento de Markup junto con Android 9 Pie en 2018. Y ahí radica el problema. Si bien el parche de seguridad de marzo evita que las imágenes marcadas se vean comprometidas en el futuro, algunas capturas de pantalla que los usuarios de Pixel pueden haber compartido en el pasado aún están en riesgo.

En cinco años, fue posible deshacer los cambios realizados en las imágenes.

Es difícil imaginar cómo estos usuarios deberían preocuparse por esta deficiencia. Según la página de manual , que Simon Aarons y David Buchanan compartieron con 9to5Google y The Verge, según la página de ayuda que Simon Aarons y David Buchanan compartieron con 9to5Google y The Verge, algunos sitios, incluido Twitter, procesan las imágenes de tal manera que nadie puede aprovechar la vulnerabilidad para venir y deshacer o múltiples ediciones realizadas en una captura de pantalla o foto. Pero los usuarios de otras plataformas fueron menos afortunados. Simon Aarons y David Buchanan se refieren a Discord como tal y especifican que el servicio no solucionó esta deficiencia hasta su actualización del 17 de enero. Actualmente se desconoce si las imágenes alojadas en otras aplicaciones de mensajería y redes sociales son vulnerables.

La actualización de seguridad de marzo está disponible actualmente para Pixel 4a, 5a, 7 y 7 Pro, lo que significa que el marcado aún puede generar imágenes vulnerables en algunos Google Pixels. Es difícil decir si Mountain View ofrecerá una solución para otros dispositivos Pixel. Si tiene un Pixel que no tiene la actualización, evite usar marcas para compartir imágenes que contengan datos confidenciales.

Presentamos Acrocalypse: una grave vulnerabilidad de privacidad en la herramienta de edición de capturas de pantalla integrada de Google Pixel, Markup, permite la restauración parcial de los datos de imagen originales sin editar de una captura de pantalla recortada y/o editada. ¡Muchas gracias a @David3141593 por la ayuda! pic.twitter.com/BXNQomnHbr

— Simon Aarons (@ItsSimonTime) 17 de marzo de 2023