Смартфоны Pixel ранее были подвержены уязвимости в системе безопасности, которая могла позволить любому пользователю восстановить конфиденциальные данные, обрезанные или отредактированные со скриншотов, согласно данным, предоставленным исследователями безопасности. Недостаток безопасности в инструменте разметки Google для смартфонов Pixel позволил отредактированным снимкам экрана сохранить часть исходной информации, что позволило пользователям восстановить детали, которые ранее были скрыты отправителем. Уязвимость, которая существовала в течение нескольких лет, была устранена Google на поддерживаемых в настоящее время телефонах Pixel.
Исследователи безопасности Саймон Ааронс и Дэвид Бьюкенен обнаружили брешь в системе безопасности, получившую название aCropalypse, которая затрагивает инструмент разметки, используемый для обрезки, редактирования и выделения снимков экрана на телефонах Pixel. В соответствии с подробности поделился Бьюкенен, Android 10 внес некоторые изменения в систему, из-за которых данные, которые были отредактированы на скриншоте, остались на изображении. В результате эти данные может восстановить любой пользователь, получивший изображение, включая незнакомцев в Интернете.
Представляем акропалипсис: серьезная уязвимость конфиденциальности во встроенном в Google Pixel инструменте редактирования снимков экрана, Markup, позволяющем частично восстановить исходные, неотредактированные данные изображения обрезанного и/или отредактированного снимка экрана. Огромное спасибо @David3141593 за его помощь во всем! pic.twitter.com/BXNQomnHbr
— Саймон Ааронс (@ItsSimonTime) 17 марта 2023 г.
В треде в Твиттере Ааронс объяснил, как работает уязвимость aCropalypse, используя изображение, которое он отправил пользователю Discord Retr0id с помощью популярного приложения для общения. Изображение кредитной карты, которое было обрезано и отредактировано с помощью инструмента «черная ручка», загружается, а затем подвергается процессу восстановления, в результате которого появляется необрезанное изображение поддельного веб-сайта банка с той же кредитной картой вместе с виден его номер.
По словам Ааронса, если отредактированный снимок экрана в формате PNG имеет меньший размер файла, как в случае со многими обрезанными изображениями, то «конечная часть исходного файла остается после того, как новый файл должен был закончиться». Затем эту завершающую часть файла можно восстановить, добавляет он. Исследователь также опубликовано инструмент, который демонстрирует, как работает уязвимость aCropalypse, позволяя пользователям загружать скриншот, чтобы попытаться восстановить исходный файл.
Между тем, 9to5Google отчет со ссылкой на версию раннего доступа Страница часто задаваемых вопросов для уязвимости говорится, что не все изображения, размещенные в Интернете, подвержены этому изображению. Некоторые платформы, такие как Twitter, обрабатывают все загруженные изображения таким образом, что на них не влияет брешь в системе безопасности aCropalypse. Однако на таких платформах, как Discord, которые обмениваются изображениями как есть, пользователи, которые делились снимками экрана с помощью своих смартфонов Pixel с Android 10, могут быть затронуты этой уязвимостью.
Владельцы Pixel 4a, Pixel 5a, Pixel 7 и Pixel 7 Pro могут обновлять к последнему мартовскому выпуску безопасности, чтобы установить исправление безопасности для уязвимости (CVE-2023-21036), которая согласно отчету имеет «высокую» классификацию серьезности. Тем не менее, Google не сообщает, когда другие поддерживаемые телефоны Pixel получат исправления, или будет ли компания обновлять телефоны Pixel, которые больше не получают обновления программного обеспечения, с исправлением уязвимости.
Добавить комментарий