Google Pixelistä on löydetty haavoittuvuus, jonka avulla voit kumota kuvakaappaustyökalulla tehdyt muutokset.

Google korjaa kuvakaappausten muokkaustyökalunsa kriittisen haavoittuvuuden. Viiden vuoden sisällä kuviin tehdyt muutokset oli mahdollista kumota.

Kun Google aloitti maaliskuun tietoturvapäivityksen julkaisemisen muutama päivä sitten, Mountain View -yritys korjasi Googlen Pixel Markup -kuvakaappaustyökaluun liittyvän ”korkean” haavoittuvuuden . Tänä viikonloppuna kyseisen haavoittuvuuden, CVE-2023-21036, löytäneet insinöörit Simon Aarons ja David Buchanan jakoivat lisätietoja ja paljastivat, että Pixel-käyttäjät ovat edelleen vaarassa nähdä vanhojen kuviensa vaarantuneen haavoittuvuuden luonteen vuoksi. tämä on Googlen laiminlyönti.

Google korjaa kriittisen haavoittuvuuden kuvakaappauksen muokkaustyökalussaan

Yhteenvetona voidaan todeta, että tämä ”aCropalypsi”-haavoittuvuus antoi hyökkääjälle mahdollisuuden ottaa rajatun kuvakaappauksen PNG-tiedostosta merkinnässä ja kumota useita kuvaan tehtyjä muutoksia. On helppo kuvitella skenaarioita, joissa hakkeri voisi käyttää tätä ominaisuutta väärin. Jos Pikselin omistaja esimerkiksi piilotti kuvakaappauksessa olevien henkilökohtaisten tietojen avulla merkintöjä, joku voi käyttää tätä haavoittuvuutta paljastaakseen kyseiset tiedot. Koko tekninen menettely on kuvattu yksityiskohtaisesti David Buchananin blogissa .

Jälkimmäisen mukaan tämä virhe on ollut olemassa noin viisi vuotta, samaan aikaan kun Markup julkaistiin Android 9 Pien kanssa vuonna 2018. Ja siinä piilee ongelma. Vaikka maaliskuun tietoturvakorjaus estää merkintäkuvien vaarantamisen tulevaisuudessa, jotkin Pixel-käyttäjien aiemmin jakamat kuvakaappaukset ovat edelleen vaarassa.

Viiden vuoden sisällä kuviin tehdyt muutokset oli mahdollista kumota.

On vaikea kuvitella, kuinka näiden käyttäjien pitäisi olla huolissaan tästä puutteesta. Man-sivun mukaan , jonka Simon Aarons ja David Buchanan jakoivat 9to5Googlen ja The Vergen kanssa, Simon Aaronsin ja David Buchananin 9to5Googlen ja The Vergen kanssa jakaman ohjesivun mukaan jotkin sivustot, mukaan lukien Twitter, käsittelevät kuvia siten, että kukaan ei voi hyödyntää haavoittuvuutta tullakseen ja kumoamaan tai tehdäkseen useita muokkauksia kuvaruutuun. Mutta muiden alustojen käyttäjät olivat vähemmän onnekkaita. Simon Aarons ja David Buchanan viittaavat Discordiin sellaisenaan ja täsmentävät, että palvelu ei korjannut tätä puutetta ennen 17. tammikuuta päivitystä. Tällä hetkellä ei tiedetä, ovatko muissa viesti- ja sosiaalisen median sovelluksissa isännöidyt kuvat haavoittuvia.

Maaliskuun tietoturvapäivitys on tällä hetkellä saatavilla Pixel 4a-, 5a-, 7- ja 7 Pro -puhelimille, mikä tarkoittaa, että merkinnät voivat silti tuottaa haavoittuvia kuvia joissakin Google Pixelsissä. On vaikea sanoa, tarjoaako Mountain View korjauksen muille Pixel-laitteille. Jos sinulla on Pixel, jossa ei ole päivitystä, vältä merkintöjen käyttöä arkaluontoista tietoa sisältävien kuvien jakamiseen.

Esittelyssä Acrocalypse: Google Pixelin sisäänrakennetun kuvakaappauksen muokkaustyökalun Markupin vakava tietosuojahaavoittuvuus mahdollistaa rajatun ja/tai muokatun kuvakaappauksen alkuperäisten, muokkaamattomien kuvatietojen osittaisen palauttamisen. Suuret kiitokset @David3141593 avusta! pic.twitter.com/BXNQomnHbr

— Simon Aarons (@ItsSimonTime) 17. maaliskuuta 2023