Google Pixelis avastati haavatavus, mis võimaldab ekraanipildi tööriista abil tehtud muudatusi tagasi võtta.

Google parandab oma ekraanipiltide redigeerimise tööriista kriitilise haavatavuse. Viie aasta jooksul oli võimalik piltidel tehtud muudatused tagasi võtta.

Kui Google alustas mõne päeva eest oma märtsikuu turvavärskenduse levitamist, parandas Mountain View’i ettevõte Google’i ekraanipildi tööriistaga Pixel Markup seotud “suure” haavatavuse . Sel nädalavahetusel jagasid kõnealuse haavatavuse (nimega CVE-2023-21036) avastanud insenerid Simon Aarons ja David Buchanan rohkem üksikasju ja paljastasid, et Pixeli kasutajatel on endiselt oht, et nende vanad pildid on haavatavuse olemuse tõttu ohus. see on Google’i möödalaskmine.

Google parandab oma ekraanipiltide redigeerimise tööriistas kriitilise haavatavuse

Kokkuvõttes võimaldas see aCropalypsi haavatavus ründajal teha märgistuses PNG-st kärbitud ekraanipildi ja tühistada mitu pildil tehtud muudatust. Lihtne on ette kujutada stsenaariume, kus häkker võiks seda funktsiooni kuritarvitada. Näiteks kui Pixeli omanik kasutas ekraanipildil isikliku teabe peitmiseks märgistust, võib keegi seda haavatavust selle teabe avaldamiseks kasutada. Kogu tehniline protseduur on üksikasjalikult kirjeldatud David Buchanani ajaveebis .

Viimase sõnul on see viga olnud umbes viis aastat, mis langeb kokku Markupi koos Android 9 Pie-ga 2018. aastal. Ja selles peitubki probleem. Kuigi märtsikuu turvaparandus takistab märgistuspiltide kahjustamist tulevikus, on mõned ekraanipildid, mida Pixeli kasutajad võisid varem jagada, endiselt ohus.

Viie aasta jooksul oli võimalik piltidel tehtud muudatused tagasi võtta.

Raske on ette kujutada, kuidas need kasutajad peaksid selle puuduse pärast muretsema. Man-lehe kohaselt , mida Simon Aarons ja David Buchanan jagasid 9to5Google’i ja The Verge’iga, töötlevad mõned saidid, sealhulgas Twitter, pilte nii, et keegi ei saa kasutada ekraanipilte tagasivõtmiseks või mitme muudatuse tegemiseks või mitme muudatuse tegemiseks. Teiste platvormide kasutajatel aga vedas vähem. Simon Aarons ja David Buchanan viitavad Discordile kui sellisele, täpsustades, et teenus ei parandanud seda puudust enne 17. jaanuari värskendust. Praegu pole teada, kas muudes sõnumside- ja sotsiaalmeediarakendustes hostitud pildid on haavatavad.

Märtsi turvavärskendus on praegu saadaval Pixel 4a, 5a, 7 ja 7 Pro jaoks, mis tähendab, et märgistus võib mõnes Google Pixelis siiski haavatavaid pilte genereerida. Raske öelda, kas Mountain View pakub lahendust ka teistele Pixeli seadmetele. Kui teil on Pixel, millel pole värskendust, vältige tundlikke andmeid sisaldavate piltide jagamiseks märgistuse kasutamist.

Tutvustame Acrocalypse’i: Google Pixeli sisseehitatud ekraanipiltide redigeerimise tööriista Markup tõsine privaatsushaavatavus võimaldab osaliselt taastada kärbitud ja/või redigeeritud ekraanipildi algsed, muutmata pildiandmed. Suur tänu @David3141593 abi eest! pic.twitter.com/BXNQomnHbr

— Simon Aarons (@ItsSimonTime) 17. märts 2023