Foi descoberta uma vulnerabilidade no Google Pixel que permite desfazer alterações feitas usando a ferramenta de captura de tela.

O Google corrige uma vulnerabilidade crítica em sua ferramenta de edição de captura de tela. Em cinco anos, foi possível desfazer as alterações feitas nas imagens.

Quando o Google começou a lançar sua atualização de segurança de março, alguns dias atrás, a empresa de Mountain View corrigiu uma vulnerabilidade “alta” relacionada à ferramenta de captura de tela Pixel Markup do Google . Neste fim de semana, Simon Aarons e David Buchanan, os engenheiros que descobriram a vulnerabilidade em questão, identificada como CVE-2023-21036, compartilharam mais detalhes e revelaram que os usuários do Pixel ainda correm o risco de ver suas imagens antigas comprometidas devido à natureza da vulnerabilidade. isso é um descuido da parte do Google.

Google corrige vulnerabilidade crítica em sua ferramenta de edição de captura de tela

Em resumo, essa vulnerabilidade “aCropalypse” permitiu que um invasor tirasse uma captura de tela cortada de um PNG na marcação e desfizesse várias alterações feitas na imagem. É fácil imaginar cenários em que um hacker poderia abusar desse recurso. Por exemplo, se um proprietário do Pixel usasse marcação para ocultar informações pessoais em uma captura de tela, alguém poderia usar essa vulnerabilidade para revelar essas informações. Todo o procedimento técnico está detalhado no blog de David Buchanan .

Segundo este último, essa falha existe há cerca de cinco anos, coincidindo com o lançamento do Markup junto com o Android 9 Pie em 2018. E aí está o problema. Embora o patch de segurança de março impeça que as imagens de marcação sejam comprometidas no futuro, algumas capturas de tela que os usuários do Pixel podem ter compartilhado no passado ainda estão em risco.

Em cinco anos, foi possível desfazer as alterações feitas nas imagens.

É difícil imaginar como esses usuários devem se preocupar com essa falha. De acordo com a página man , que Simon Aarons e David Buchanan compartilharam com 9to5Google e The Verge, de acordo com a página de ajuda que Simon Aarons e David Buchanan compartilharam com 9to5Google e The Verge, alguns sites, incluindo o Twitter, processam imagens de tal forma que ninguém pode explorar a vulnerabilidade para vir e desfazer ou várias edições feitas em uma captura de tela ou foto. Mas os usuários de outras plataformas tiveram menos sorte. Simon Aarons e David Buchanan se referem ao Discord como tal, especificando que o serviço não corrigiu essa falha até a atualização de 17 de janeiro. Atualmente, não se sabe se as imagens hospedadas em outros aplicativos de mensagens e redes sociais são vulneráveis.

A atualização de segurança de março está atualmente disponível para o Pixel 4a, 5a, 7 e 7 Pro, o que significa que a marcação ainda pode gerar imagens vulneráveis ​​em alguns Google Pixels. É difícil dizer se Mountain View oferecerá uma correção para outros dispositivos Pixel. Se você possui um Pixel que não possui a atualização, evite usar marcação para compartilhar imagens que contenham dados confidenciais.

Apresentando o Acrocalypse: uma séria vulnerabilidade de privacidade na ferramenta de edição de captura de tela integrada do Google Pixel, Markup, permite a restauração parcial dos dados de imagem originais e não editados de uma captura de tela cortada e/ou editada. Muito obrigado a @David3141593 pela ajuda! pic.twitter.com/BXNQomnHbr

— Simon Aarons (@ItsSimonTime) 17 de março de 2023