У Google Pixel була виявлена ​​уразливість, яка дозволяє скасувати зміни, внесені за допомогою інструменту знімка екрана.

Google виправляє критичну вразливість у своєму інструменті редагування знімків екрана. Протягом п’яти років можна було скасувати зміни, внесені в зображення.

Коли кілька днів тому Google почав розгортати березневе оновлення безпеки, фірма з Маунтін-В’ю виправила «високу» вразливість, пов’язану з інструментом Google Pixel Markup для створення скріншотів . Цими вихідними Саймон Ааронс і Девід Б’юкенен, інженери, які виявили вразливість, ідентифіковану як CVE-2023-21036, поділилися більш детальною інформацією та показали, що користувачі Pixel все ще ризикують побачити свої старі зображення скомпрометованими через характер уразливості. це недогляд з боку Google.

Google виправляє критичну вразливість у своєму інструменті редагування знімків екрана

Підсумовуючи, ця вразливість «aCropalypse» дозволила зловмиснику зробити обрізаний знімок екрана PNG у розмітці та скасувати кілька змін, внесених до зображення. Легко уявити сценарії, коли хакер може зловживати цією функцією. Наприклад, якщо власник Pixel використовував розмітку, щоб приховати особисту інформацію на знімку екрана, хтось може використати цю вразливість, щоб розкрити цю інформацію. Уся технічна процедура детально описана в блозі Девіда Бьюкенена .

За словами останнього, ця вада існує вже близько п’яти років, що збіглося з випуском Markup разом з Android 9 Pie у 2018 році. І в цьому полягає проблема. Хоча березневе виправлення безпеки запобігає скомпрометації зображень розмітки в майбутньому, деякі знімки екрана, якими користувачі Pixel могли поділитися в минулому, все ще під загрозою.

Протягом п’яти років можна було скасувати зміни, внесені в зображення.

Важко уявити, як ці користувачі повинні турбуватися про цей недолік. Згідно зі сторінкою довідки , якою Саймон Ааронс і Девід Б’юкенен поділилися з 9to5Google і The Verge, згідно зі сторінкою довідки, якою Саймон Ааронс і Девід Б’юкенен поділилися з 9to5Google і The Verge, деякі сайти, включно з Twitter, обробляють зображення таким чином, що ніхто не може скористатися уразливістю, щоб скасувати чи кілька разів редагувати знімок екрана чи фотографію. А от користувачам інших платформ пощастило менше. Саймон Ааронс і Девід Бьюкенен називають Discord таким, уточнюючи, що сервіс не виправив цей недолік до свого оновлення 17 січня. Наразі невідомо, чи вразливі зображення, розміщені в інших програмах для обміну повідомленнями та соціальних мережах.

Березневе оновлення безпеки наразі доступне для Pixel 4a, 5a, 7 і 7 Pro, що означає, що розмітка все ще може створювати вразливі зображення на деяких Google Pixel. Важко сказати, чи запропонує Mountain View виправлення для інших пристроїв Pixel. Якщо у вас Pixel не оновлено, уникайте використання розмітки для обміну зображеннями, які містять конфіденційні дані.

Представляємо Acrocalypse: серйозна вразливість конфіденційності у вбудованому інструменті Google Pixel для редагування знімків екрана, Markup, дозволяє частково відновити оригінальні, невідредаговані дані зображення обрізаного та/або відредагованого знімка екрана. Величезна подяка @David3141593 за допомогу! pic.twitter.com/BXNQomnHbr

— Саймон Ааронс (@ItsSimonTime) 17 березня 2023 р