È stata scoperta una vulnerabilità in Google Pixel che consente di annullare le modifiche apportate utilizzando lo strumento screenshot.
Google risolve una vulnerabilità critica nel suo strumento di modifica degli screenshot. Entro cinque anni, è stato possibile annullare le modifiche apportate alle immagini.
Quando Google ha iniziato a lanciare il suo aggiornamento di sicurezza di marzo pochi giorni fa, l’azienda di Mountain View ha corretto una vulnerabilità “elevata” correlata allo strumento di screenshot Pixel Markup di Google . Questo fine settimana, Simon Aarons e David Buchanan, gli ingegneri che hanno scoperto la vulnerabilità in questione, identificata come CVE-2023-21036, hanno condiviso maggiori dettagli e rivelato che gli utenti Pixel sono ancora a rischio di vedere le loro vecchie immagini compromesse a causa della natura della vulnerabilità. questa è una svista da parte di Google.
Google corregge la vulnerabilità critica nel suo strumento di modifica degli screenshot
In sintesi, questa vulnerabilità “aCropalypse” ha consentito a un utente malintenzionato di acquisire uno screenshot ritagliato di un PNG nel markup e annullare diverse modifiche apportate all’immagine. È facile immaginare scenari in cui un hacker potrebbe abusare di questa funzione. Ad esempio, se un proprietario di Pixel ha utilizzato il markup per nascondere le informazioni personali in uno screenshot, qualcuno potrebbe sfruttare tale vulnerabilità per rivelare tali informazioni. L’intera procedura tecnica è dettagliata sul blog di David Buchanan .
Secondo quest’ultimo, questo difetto esiste da circa cinque anni, in coincidenza con il rilascio di Markup insieme ad Android 9 Pie nel 2018. E qui sta il problema. Mentre la patch di sicurezza di marzo impedisce che le immagini di markup vengano compromesse in futuro, alcuni screenshot che gli utenti di Pixel potrebbero aver condiviso in passato sono ancora a rischio.
Entro cinque anni, è stato possibile annullare le modifiche apportate alle immagini.
È difficile immaginare come questi utenti dovrebbero preoccuparsi di questa mancanza. Secondo la pagina man , che Simon Aarons e David Buchanan hanno condiviso con 9to5Google e The Verge, secondo la pagina di aiuto che Simon Aarons e David Buchanan hanno condiviso con 9to5Google e The Verge, alcuni siti, incluso Twitter, elaborano le immagini in modo tale che nessuno possa sfruttare la vulnerabilità per venire e annullare o più modifiche apportate a uno screenshot o una foto. Ma gli utenti di altre piattaforme sono stati meno fortunati. Simon Aarons e David Buchanan si riferiscono a Discord in quanto tale, specificando che il servizio non ha risolto questa lacuna fino al suo aggiornamento del 17 gennaio. Al momento non è noto se le immagini ospitate su altre app di messaggistica e social media siano vulnerabili.
L’aggiornamento della sicurezza di marzo è attualmente disponibile per Pixel 4a, 5a, 7 e 7 Pro, il che significa che il markup può ancora generare immagini vulnerabili su alcuni Google Pixel. È difficile dire se Mountain View offrirà una soluzione per altri dispositivi Pixel. Se hai un Pixel che non dispone dell’aggiornamento, evita di utilizzare il markup per condividere immagini che contengono dati sensibili.
Presentazione di Acrocalypse: una grave vulnerabilità della privacy nello strumento di modifica degli screenshot integrato di Google Pixel, Markup, consente il ripristino parziale dei dati dell’immagine originale e non modificata di uno screenshot ritagliato e/o modificato. Grazie infinite a @David3141593 per l’aiuto! pic.twitter.com/BXNQomnHbr
— Simon Aarons (@ItsSimonTime) 17 marzo 2023
Lascia un commento