Apa yang perlu Anda ketahui
- Kerentanan keamanan yang dijuluki "aCropalypse" dapat menimbulkan risiko data yang parah pada Piksel, ROM khusus, dan perangkat Android lainnya yang menggunakan alat pengeditan "markup" default.
- Tangkapan layar PNG pada Pixel dapat diurai oleh penyerang untuk menemukan kembali informasi sensitif apa yang Anda tidak ingin orang lain lihat.
- Kerentanan untungnya telah ditambal melalui penurunan fitur Google baru-baru ini.
Hal sederhana dan mudah dilakukan seperti mengedit tangkapan layar dari Pixel Anda telah menjadi perhatian. Apa yang dijuluki "aCropalypse," peneliti Simon Aarons dan David Buchanan menemukan eksploit dengan tangkapan layar PNG setelah beberapa pemotongan pada Piksel menggunakan markup (melalui Polisi Android). Masalah ini terlihat memengaruhi Pixel, ponsel Android non-Pixel, dan beberapa ROM khusus, serta cukup lazim tetapi tidak terbatas pada layanan perpesanan Discord.
Kedua peneliti melihat kelemahan keamanan yang parah pada tanggal 2 Januari dan mereka dengan cepat menemukan cara untuk membuktikan keberadaannya sebelum memberi tahu Google di hari yang sama. Setelah mengakuinya, Google menambal masalah tersebut
secara internal pada 24 Januari tetapi tidak meluncurkan perbaikan hingga hampir dua bulan kemudian dengan Penurunan fitur bulan Maret.Eksploitasi teknis tampaknya terjadi beberapa tahun yang lalu karena perubahan API dari Android 10 yang ditemukan oleh para peneliti di IssueTracker. Dikatakan bahwa alat markup diubah menjadi tidak lagi memotong (memperpendek) file gambar.
Sederhananya, jika ukuran file asli Anda adalah 10MB dan setelah dipotong menjadi 3MB, alat markup tidak hanya membuang potongan foto Anda yang tidak berguna yang, dalam beberapa kasus, cukup sensitif informasi. Seperti yang dijelaskan peneliti Simon, "jadi pada dasarnya Pixel 7 Pro, saat Anda memotong dan menyimpan tangkapan layar, menimpa gambar dengan versi baru, tetapi meninggalkan sisa file asli di tempatnya."
Buchanan memposting beberapa informasi tentang apa itu file PNG dan bagaimana ia mengoperasikan blok datanya blog mereka. PNG memampatkan datanya menjadi blok dan jika file diedit atau dipotong, dalam hal ini, salah satunya blok yang ada dapat berisi informasi dari sesuatu yang dihapus (atau ditutup-tutupi) melalui pengeditan proses. Buchanan menjelaskan, "secara teoritis, sebuah gambar dapat dibuat hampir seluruhnya dari referensi ke data yang hilang, tetapi dalam praktek, kebanyakan gambar tidak seperti ini."
Perselisihan disorot karena caranya menangani citra yang diunggah pengguna sebelumnya. Sebelum 17 Januari, metode pemrosesan Discord sendiri tidak pernah menghapus metadata atau gambar terkompresi. Karena itu, eksploit dapat dimanfaatkan pada layanan perpesanan.
Kedua peneliti memiliki menciptakan sebuah alat yang menunjukkan proses eksploitasi ini pada tangkapan layar yang Anda berikan diambil dari beberapa perangkat Google seperti Piksel 7 Pro. Ini bisa sangat menakutkan untuk melihat dalam tindakan mengingat setiap pengeditan yang dilakukan untuk memblokir informasi tertentu atau gambar yang dipangkas sepenuhnya kembali ke bentuk aslinya yang lengkap. Yang lain punya menimpali di Twitter dengan tangkapan layar mereka sendiri muncul di penguji untuk melihat bahwa potongan-potongan yang sebelumnya mereka pikir dibuang tidak benar-benar hilang.
Tampaknya masalah ini tidak memengaruhi gambar JPEG yang mungkin disebabkan oleh perbedaan dalam cara setiap jenis file menangani data. Namun, bahkan dengan pembaruan Maret, file PNG yang telah diedit sebelumnya yang telah dikirim dapat diekspos.
Memperkenalkan acropalypse: kerentanan privasi serius dalam pengeditan tangkapan layar bawaan Google Pixel alat, Markup, memungkinkan pemulihan sebagian dari data gambar asli yang belum diedit dari yang dipotong dan/atau disunting tangkapan layar. Terima kasih banyak kepada @ David3141593 atas bantuannya selama ini! pic.twitter.com/BXNQomnHbr17 Maret 2023
Lihat lebih banyak
- Penawaran telepon: Pembelian terbaik | Walmart | Samsung | Amazon | Verizon | AT&T