W Google Pixel wykryto lukę, która umożliwia cofnięcie zmian dokonanych za pomocą narzędzia do zrzutów ekranu.

Google naprawia krytyczną lukę w swoim narzędziu do edycji zrzutów ekranu. W ciągu pięciu lat można było cofnąć zmiany wprowadzone w obrazach.

Kiedy kilka dni temu Google zaczęło wdrażać marcową aktualizację zabezpieczeń, firma z Mountain View załatała „wysoką” lukę w zabezpieczeniach narzędzia Google Pixel Markup do zrzutów ekranu . W ten weekend Simon Aarons i David Buchanan, inżynierowie, którzy odkryli omawianą lukę w zabezpieczeniach, zidentyfikowaną jako CVE-2023-21036, udostępnili więcej szczegółów i ujawnili, że użytkownicy Pixela nadal są narażeni na to, że ich stare obrazy zostaną naruszone ze względu na charakter luki. jest to niedopatrzenie ze strony Google.

Google naprawia krytyczną lukę w swoim narzędziu do edycji zrzutów ekranu

Podsumowując, ta luka w zabezpieczeniach „aCropalypse” umożliwiła osobie atakującej wykonanie przyciętego zrzutu ekranu pliku PNG w znacznikach i cofnięcie kilku zmian wprowadzonych w obrazie. Łatwo wyobrazić sobie scenariusze, w których haker mógłby nadużyć tej funkcji. Na przykład, jeśli właściciel Pixela użył znaczników do ukrycia danych osobowych na zrzucie ekranu, ktoś może wykorzystać tę lukę, aby ujawnić te informacje. Cała procedura techniczna jest szczegółowo opisana na blogu Davida Buchanana .

Według tego ostatniego, ta wada istnieje od około pięciu lat, co zbiegło się z wydaniem Markup wraz z Androidem 9 Pie w 2018 roku. I na tym polega problem. Podczas gdy marcowa poprawka bezpieczeństwa zapobiega naruszeniu obrazów znaczników w przyszłości, niektóre zrzuty ekranu, które użytkownicy Pixela mogli udostępniać w przeszłości, nadal są zagrożone.

W ciągu pięciu lat można było cofnąć zmiany wprowadzone w obrazach.

Trudno sobie wyobrazić, jak ci użytkownicy powinni martwić się tym niedociągnięciem. Zgodnie ze stroną podręcznika , którą Simon Aarons i David Buchanan udostępnili 9to5Google i The Verge, zgodnie ze stroną pomocy, którą Simon Aarons i David Buchanan udostępnili 9to5Google i The Verge, niektóre witryny, w tym Twitter, przetwarzają obrazy w taki sposób, że nikt nie może wykorzystać luki w zabezpieczeniach, aby wejść i cofnąć lub dokonać wielu edycji zrzutu ekranu lub zdjęcia. Mniej szczęścia mieli jednak użytkownicy innych platform. Simon Aarons i David Buchanan odnoszą się do Discorda jako takiego, zaznaczając, że usługa nie naprawiła tego niedociągnięcia aż do aktualizacji z 17 stycznia. Obecnie nie wiadomo, czy obrazy przechowywane w innych aplikacjach do przesyłania wiadomości i mediów społecznościowych są podatne na ataki.

Aktualizacja zabezpieczeń z marca jest obecnie dostępna dla Pixela 4a, 5a, 7 i 7 Pro, co oznacza, że ​​znaczniki mogą nadal generować wrażliwe obrazy na niektórych Pixelach Google. Trudno powiedzieć, czy Mountain View zaoferuje poprawkę dla innych urządzeń Pixel. Jeśli masz Pixela, który nie ma aktualizacji, unikaj używania znaczników do udostępniania obrazów zawierających poufne dane.

Przedstawiamy Acrocalypse: Poważna luka w zabezpieczeniach prywatności we wbudowanym narzędziu do edycji zrzutów ekranu Google Pixel, Markup, umożliwia częściowe przywrócenie oryginalnych, nieedytowanych danych obrazu przyciętego i/lub edytowanego zrzutu ekranu. Ogromne podziękowania dla @David3141593 za pomoc! pic.twitter.com/BXNQomnHbr

— Simon Aarons (@ItsSimonTime) 17 marca 2023 r