스크린샷 도구를 사용하여 변경한 내용을 취소할 수 있는 취약점이 Google Pixel에서 발견되었습니다.

Google은 스크린샷 편집 도구의 치명적인 취약점을 수정합니다. 5년 이내에 이미지에 대한 변경 사항을 취소할 수 있었습니다.

Google이 며칠 전 3월 보안 업데이트를 출시하기 시작했을 때 Mountain View 회사는 Google의 Pixel Markup 스크린샷 도구와 관련된 “높은” 취약점을 패치했습니다 . 이번 주말, CVE-2023-21036으로 식별된 문제의 취약점을 발견한 엔지니어인 Simon Aarons와 David Buchanan은 더 자세한 정보를 공유하고 Pixel 사용자가 취약점의 특성으로 인해 이전 이미지가 손상된 것을 볼 위험이 여전히 있다고 밝혔습니다. 이것은 Google 측의 감독입니다.

Google, 스크린샷 편집 도구의 치명적인 취약점 수정

요약하면 이 “aCropalypse” 취약점을 통해 공격자는 마크업에서 PNG의 잘린 스크린샷을 찍고 이미지에 적용된 여러 변경 사항을 취소할 수 있었습니다. 해커가 이 기능을 악용할 수 있는 시나리오를 쉽게 상상할 수 있습니다. 예를 들어 Pixel 소유자가 마크업을 사용하여 스크린샷에서 개인 정보를 숨긴 경우 누군가가 해당 취약성을 사용하여 해당 정보를 공개할 수 있습니다. 전체 기술 절차는 David Buchanan의 블로그 에 자세히 설명되어 있습니다 .

후자에 따르면 이 결함은 2018년 Android 9 Pie와 함께 Markup이 출시된 것과 동시에 약 5년 동안 존재했습니다. 그리고 거기에 문제가 있습니다. 3월 보안 패치는 향후 마크업 이미지가 손상되는 것을 방지하지만 Pixel 사용자가 과거에 공유했을 수 있는 일부 스크린샷은 여전히 ​​위험에 노출되어 있습니다.

5년 이내에 이미지에 대한 변경 사항을 취소할 수 있었습니다.

이러한 사용자가 이러한 단점에 대해 어떻게 걱정해야 하는지 상상하기 어렵습니다. Simon Aarons와 David Buchanan이 9to5Google 및 The Verge와 공유한 매뉴얼 페이지 에 따르면 Simon Aarons와 David Buchanan이 9to5Google 및 The Verge와 공유한 도움말 페이지에 따르면 Twitter를 비롯한 일부 사이트는 아무도 이 취약점을 악용하여 스크린샷이나 사진에 대한 여러 편집 내용을 실행 취소할 수 없도록 이미지를 처리합니다. 그러나 다른 플랫폼의 사용자는 운이 좋지 않았습니다. Simon Aarons와 David Buchanan은 Discord를 그렇게 언급하면서 서비스가 1월 17일 업데이트까지 이 단점을 수정하지 않았다고 명시했습니다. 다른 메시징 및 소셜 미디어 앱에서 호스팅되는 이미지가 취약한지는 현재 알 수 없습니다.

3월 보안 업데이트는 현재 Pixel 4a, 5a, 7 및 7 Pro에서 사용할 수 있습니다. 즉, 일부 Google Pixel에서 마크업이 여전히 취약한 이미지를 생성할 수 있습니다. Mountain View가 다른 Pixel 기기에 대한 수정 사항을 제공할지 여부는 말하기 어렵습니다. 업데이트가 없는 Pixel이 있는 경우 마크업을 사용하여 민감한 데이터가 포함된 이미지를 공유하지 마세요.

Acrocalypse 소개: Google Pixel에 내장된 스크린샷 편집 도구인 Markup의 심각한 개인 정보 취약성으로 인해 잘리거나 편집된 스크린샷의 편집되지 않은 원본 이미지 데이터를 부분적으로 복원할 수 있습니다. 도움을 주신 @David3141593 에게 큰 감사를 드립니다 ! pic.twitter.com/BXNQomnHbr

— 사이먼 아론스(@ItsSimonTime) 2023년 3월 17일