पिक्सेल 'एक्रोपैलिप्स' शोषण गंभीर डेटा जोखिम पैदा कर सकता है

आपको क्या जानने की आवश्यकता है

• "एक्रोपैलिप्स" नामक सुरक्षा भेद्यता डिफ़ॉल्ट "मार्कअप" संपादन टूल का उपयोग करने वाले पिक्सेल, कस्टम रोम और अन्य एंड्रॉइड डिवाइसों के लिए गंभीर डेटा जोखिम पैदा कर सकती है।
• पिक्सेल पर पीएनजी स्क्रीनशॉट को हमलावरों द्वारा उजागर किया जा सकता है ताकि आप उस संवेदनशील जानकारी को फिर से खोज सकें जो आप नहीं चाहते कि अन्य लोग देखें।
• सौभाग्य से Google के हालिया मार्च फ़ीचर ड्रॉप के माध्यम से भेद्यता को ठीक कर लिया गया है।

आपके पिक्सेल से स्क्रीनशॉट को संपादित करने जैसी सरल और आसान चीज़ चिंता का कारण बन गई है। जिसे "एक्रोपैलिप्स" करार दिया जा रहा है, शोधकर्ता साइमन आरोन्स और डेविड बुकानन ने मार्कअप का उपयोग करके पिक्सेल पर कुछ क्रॉपिंग के बाद पीएनजी स्क्रीनशॉट के साथ एक शोषण की खोज की (के माध्यम से) एंड्रॉइड पुलिस). समस्या को पिक्सेल, गैर-पिक्सेल एंड्रॉइड फोन और कुछ कस्टम रोम को प्रभावित करते हुए देखा गया था, साथ ही यह काफी प्रचलित था लेकिन मैसेजिंग सेवा डिस्कॉर्ड तक सीमित नहीं था।

दोनों शोधकर्ताओं ने 2 जनवरी को गंभीर सुरक्षा खामी देखी और उन्होंने तुरंत उसी दिन Google को सचेत करने से पहले इसके अस्तित्व को साबित करने का एक तरीका खोजा। इसे स्वीकार करने के बाद, Google ने इस मुद्दे को सुलझा लिया

आंतरिक रूप 24 जनवरी को, लेकिन लगभग दो महीने बाद तक इसे ठीक नहीं किया गया मार्च फीचर ड्रॉप.

शोधकर्ताओं द्वारा देखे गए एंड्रॉइड 10 से एपीआई परिवर्तन के कारण तकनीकी शोषण स्पष्ट रूप से कुछ साल पुराना है मुद्दा पर नज़र रखने वाला. ऐसा कहा जाता है कि मार्कअप टूल को बदल दिया गया था ताकि अब किसी छवि फ़ाइल को छोटा (छोटा) न किया जाए।

सरल शब्दों में, यदि आपकी मूल फ़ाइल का आकार 10 एमबी था और इसे क्रॉप करने के बाद 3 एमबी में बदल दिया गया, तो मार्कअप टूल यह आपके बेकार फोटो के टुकड़ों को यूं ही नहीं फेंक देगा, जो कुछ मामलों में काफी संवेदनशील होंगे जानकारी। जैसा कि शोधकर्ता साइमन ने समझाया, "इसलिए मूल रूप से पिक्सेल 7 प्रो, जब आप स्क्रीनशॉट को क्रॉप और सेव करते हैं, तो छवि को नए संस्करण के साथ अधिलेखित कर देता है, लेकिन बाकी मूल फ़ाइल को उसके स्थान पर छोड़ देता है।"

बुकानन ने पीएनजी फ़ाइल क्या है और यह अपने डेटा ब्लॉक को कैसे संचालित करती है, इस पर कुछ जानकारी पोस्ट की उनका ब्लॉग. पीएनजी अपने डेटा को ब्लॉकों में संपीड़ित करता है और यदि कोई फ़ाइल संपादित या क्रॉप की जाती है, तो इस उदाहरण में, उनमें से एक मौजूदा ब्लॉक में संपादन के माध्यम से हटाई गई (या ढकी हुई) किसी चीज़ की जानकारी हो सकती है प्रक्रिया। बुकानन बताते हैं, "सैद्धांतिक रूप से, एक छवि लगभग पूरी तरह से गायब डेटा के बैक-रेफरेंस से बनाई जा सकती है, लेकिन व्यवहार में, अधिकांश छवियाँ ऐसी नहीं हैं।"

जिस तरह से यह पहले उपयोगकर्ता द्वारा अपलोड की गई इमेजरी को संभालता था, उसके कारण कलह को उजागर किया जा रहा है। 17 जनवरी से पहले, डिस्कॉर्ड की अपनी प्रसंस्करण विधि ने मेटाडेटा या संपीड़ित छवियों को कभी नहीं हटाया। इससे मैसेजिंग सर्विस पर शोषण का फायदा उठाया जा सकेगा.

दोनों शोधकर्ताओं के पास है एक उपकरण बनाया जो आपके द्वारा प्रदान किए गए कई Google उपकरणों से लिए गए स्क्रीनशॉट पर इस शोषण प्रक्रिया को प्रदर्शित करता है पिक्सेल 7 प्रो. यह देखना काफी चुनौतीपूर्ण हो सकता है कि कुछ जानकारी को ब्लॉक करने के लिए किए गए किसी भी संपादन या पूरी तरह से काटी गई छवियों को उनके पूर्ण, मूल स्वरूप में वापस लाया जाए। दूसरों के पास है सुर में सुर मिलाया ट्विटर पर अपने स्वयं के स्क्रीनशॉट के साथ परीक्षक में यह देखने के लिए पॉप किया गया कि उनके पहले से सोचे गए त्याग किए गए स्क्रैप वास्तव में चले नहीं गए हैं।

ऐसा प्रतीत होता है कि इस समस्या ने JPEG छवियों को प्रभावित नहीं किया है, जो प्रत्येक फ़ाइल प्रकार के डेटा को संभालने के तरीके में अंतर के कारण हो सकता है। हालाँकि, मार्च अपडेट के साथ भी, पुरानी संपादित पीएनजी फ़ाइलें जो पहले ही भेजी जा चुकी हैं, उजागर हो सकती हैं।

• फ़ोन सौदे: सर्वश्रेष्ठ खरीद | वॉल-मार्ट | SAMSUNG | वीरांगना | Verizon | एटी एंड टी