Τι πρέπει να ξέρετε
- Μια ευπάθεια ασφαλείας που ονομάζεται "aCropalypse" θα μπορούσε να θέσει σοβαρό κίνδυνο δεδομένων για τα Pixel, τις προσαρμοσμένες ROM και άλλες συσκευές Android που χρησιμοποιούν το προεπιλεγμένο εργαλείο επεξεργασίας "σήμανσης".
- Τα στιγμιότυπα οθόνης PNG σε ένα Pixel θα μπορούσαν να ξεδιαλυθούν από τους εισβολείς για να ανακαλύψουν εκ νέου ποιες ευαίσθητες πληροφορίες δεν θέλατε να δουν οι άλλοι.
- Η ευπάθεια ευτυχώς επιδιορθώθηκε μέσω της πρόσφατης πτώσης χαρακτηριστικών της Google τον Μάρτιο.
Ένα απλό και εύκολο πράγμα, όπως η επεξεργασία ενός στιγμιότυπου οθόνης από το Pixel σας, έχει γίνει αιτία ανησυχίας. Αυτό που ονομάζεται "aCropalypse", οι ερευνητές Simon Aarons και David Buchanan ανακάλυψαν ένα exploit με στιγμιότυπα οθόνης PNG μετά από κάποια περικοπή σε Pixel χρησιμοποιώντας σήμανση (μέσω Android Police). Το πρόβλημα εντοπίστηκε να επηρεάζει τα Pixel, τα τηλέφωνα Android που δεν είναι Pixel και μερικές προσαρμοσμένες ROM, καθώς και να είναι αρκετά διαδεδομένο, αλλά δεν περιορίζεται στην υπηρεσία ανταλλαγής μηνυμάτων Discord.
Και οι δύο ερευνητές εντόπισαν το σοβαρό ελάττωμα ασφαλείας στις 2 Ιανουαρίου και βρήκαν γρήγορα έναν τρόπο να αποδείξουν την ύπαρξή του προτού ειδοποιήσουν την Google αργότερα την ίδια μέρα. Αφού το αναγνώρισε, η Google επιδιορθώνει το πρόβλημα εσωτερικώς στις 24 Ιανουαρίου, αλλά δεν κυκλοφόρησε την επιδιόρθωση παρά σχεδόν δύο μήνες αργότερα με το πτώση χαρακτηριστικών Μαρτίου.
Η τεχνική εκμετάλλευση προφανώς πηγαίνει πίσω μερικά χρόνια λόγω μιας αλλαγής API από το Android 10 που εντοπίστηκε από τους ερευνητές στο IssueTracker. Λέγεται ότι το εργαλείο σήμανσης άλλαξε ώστε να μην περικόπτει (συντομεύει) πλέον ένα αρχείο εικόνας.
Με απλούστερους όρους, εάν το αρχικό σας μέγεθος αρχείου ήταν 10 MB και μετά την περικοπή του μετατράπηκε σε 3 MB, το εργαλείο σήμανσης δεν θα πετάτε απλώς τα άχρηστα κομμάτια της φωτογραφίας σας που, σε ορισμένες περιπτώσεις, θα ήταν αρκετά ευαίσθητα πληροφορίες. Όπως εξήγησε ο ερευνητής Simon, «έτσι ουσιαστικά το Pixel 7 Pro, όταν περικόπτετε και αποθηκεύετε ένα στιγμιότυπο οθόνης, αντικαθιστά την εικόνα με τη νέα έκδοση, αλλά αφήνει το υπόλοιπο αρχικό αρχείο στη θέση του».
Ο Buchanan δημοσίευσε ορισμένες πληροφορίες σχετικά με το τι είναι ένα αρχείο PNG και πώς λειτουργεί τα μπλοκ δεδομένων του το ιστολόγιό τους. Ένα PNG συμπιέζει τα δεδομένα του σε μπλοκ και εάν ένα αρχείο υποβληθεί σε επεξεργασία ή περικοπή, σε αυτήν την περίπτωση, ένα από αυτά Τα υπάρχοντα μπλοκ θα μπορούσαν να περιέχουν πληροφορίες από κάτι που έχει διαγραφεί (ή καλυφθεί) μέσω της επεξεργασίας επεξεργάζομαι, διαδικασία. Ο Buchanan εξηγεί, «θεωρητικά, μια εικόνα θα μπορούσε να αποτελείται σχεδόν εξ ολοκλήρου από παραπομπές σε δεδομένα που λείπουν, αλλά στην πράξη, οι περισσότερες εικόνες δεν είναι έτσι."
Το Discord επισημαίνεται λόγω του τρόπου με τον οποίο χειριζόταν προηγουμένως τις εικόνες που ανέβασαν οι χρήστες. Πριν από τις 17 Ιανουαρίου, η μέθοδος επεξεργασίας του Discord δεν αφαιρούσε ποτέ τα μεταδεδομένα ή συμπίεση εικόνων. Λόγω αυτού, η εκμετάλλευση θα μπορούσε να αξιοποιηθεί στην υπηρεσία ανταλλαγής μηνυμάτων.
Και οι δύο ερευνητές έχουν δημιούργησε ένα εργαλείο που δείχνει αυτή τη διαδικασία εκμεταλλεύσεων σε στιγμιότυπα οθόνης που παρέχετε, λαμβάνονται από πολλές συσκευές Google όπως η Pixel 7 Pro. Μπορεί να είναι αρκετά αποθαρρυντικό να βλέπεις σε δράση λαμβάνοντας υπόψη τυχόν τροποποιήσεις που έγιναν για να αποκλειστούν ορισμένες πληροφορίες ή οι εντελώς κομμένες εικόνες επανέρχονται στην πλήρη, αρχική τους μορφή. Άλλοι έχουν πετάχτηκε, πρόσθεσε στο Twitter με τα δικά τους στιγμιότυπα οθόνης εμφανίστηκαν στον ελεγκτή για να δουν ότι τα απορριπτόμενα αποκόμματά τους δεν έχουν πραγματικά εξαφανιστεί.
Φαίνεται ότι αυτό το πρόβλημα δεν επηρέασε τις εικόνες JPEG, κάτι που θα μπορούσε να οφείλεται στις διαφορές στον τρόπο με τον οποίο χειρίζεται τα δεδομένα κάθε τύπος αρχείου. Ωστόσο, ακόμη και με την ενημέρωση Μαρτίου, θα μπορούσαν να εκτεθούν παλαιότερα επεξεργασμένα αρχεία PNG που έχουν ήδη αποσταλεί.
Παρουσιάζοντας την ακροπάλυψη: μια σοβαρή ευπάθεια απορρήτου στην ενσωματωμένη επεξεργασία στιγμιότυπου οθόνης του Google Pixel εργαλείο, Σήμανση, που επιτρέπει τη μερική ανάκτηση των αρχικών, μη επεξεργασμένων δεδομένων εικόνας μιας περικομμένης ή/και επεξεργασίας στιγμιότυπο οθόνης. Ευχαριστώ πολύ τον @David3141593 για τη βοήθειά του καθ' όλη τη διάρκεια! pic.twitter.com/BXNQomnHbr17 Μαρτίου 2023
Δείτε περισσότερα
- Τηλεφωνικές προσφορές: Καλύτερη αγορά | Walmart | Samsung | Αμαζόνα | Verizon | AT&T