Kaj morate vedeti
- Varnostna ranljivost, imenovana "aCropalypse", bi lahko predstavljala resno podatkovno tveganje za Pixels, ROM-e po meri in druge naprave Android, ki uporabljajo privzeto orodje za urejanje "markup".
- Napadalci bi lahko razkrili posnetke zaslona PNG na Pixelu, da bi znova odkrili, za katere občutljive informacije ne želite, da jih drugi vidijo.
- Ranljivost je bila na srečo popravljena z Googlovim nedavnim padcem funkcij marca.
Preprosta in enostavna stvar, kot je urejanje posnetka zaslona iz vašega Pixela, je postala razlog za zaskrbljenost. Raziskovalca Simon Aarons in David Buchanan, ki se imenujeta "aCropalypse", sta odkrila izkoriščanje s posnetki zaslona PNG po nekaj obrezovanju slikovnih pik s pomočjo označevanja (prek Android Police). Ugotovljeno je bilo, da je težava prizadela Pixele, telefone Android, ki niso Pixel, in nekaj ROM-ov po meri, poleg tega pa je precej razširjena, vendar ni omejena na storitev sporočanja Discord.
Oba raziskovalca sta resno varnostno napako opazila 2. januarja in sta hitro poiskala način, kako dokazati njen obstoj, preden sta pozneje istega dne obvestila Google. Potem ko je Google to potrdil, je težavo popravil
interno 24. januarja, vendar je popravek izdal šele skoraj dva meseca kasneje z Padec funkcij marca.Tehnično izkoriščanje očitno sega nekaj let nazaj zaradi spremembe API-ja iz Androida 10, ki so jo opazili raziskovalci na IssueTracker. Rečeno je bilo, da je bilo orodje za označevanje spremenjeno tako, da ne obrezuje (skrajšuje) slikovne datoteke.
Preprosteje povedano, če je bila vaša izvirna velikost datoteke 10 MB in se je po obrezovanju spremenila v 3 MB, orodje za označevanje ne bi kar zavrgli vaših neuporabnih kosov fotografij, ki bi bili v nekaterih primerih zelo občutljivi informacije. Kot je pojasnil raziskovalec Simon, "torej v bistvu Pixel 7 Pro, ko obrežete in shranite posnetek zaslona, prepiše sliko z novo različico, vendar pusti preostanek izvirne datoteke na svojem mestu."
Buchanan je objavil nekaj informacij o tem, kaj je datoteka PNG in kako deluje s svojimi podatkovnimi bloki njihov blog. PNG stisne svoje podatke v bloke in če je datoteka urejena ali obrezana, je v tem primeru eden od teh obstoječi bloki lahko vsebujejo informacije o nečem, kar je bilo izbrisano (ali prikrito) z urejanjem postopek. Buchanan pojasnjuje, "teoretično je lahko slika skoraj v celoti sestavljena iz povratnih sklicev na manjkajoče podatke, vendar v praksi, večina slik ni takšna."
Discord je izpostavljen zaradi načina, kako je prej obravnaval slike, ki so jih naložili uporabniki. Pred 17. januarjem Discordova lastna metoda obdelave nikoli ni odstranjevala metapodatkov ali stisnjenih slik. Zaradi tega bi lahko izkoriščanje izkoristili v storitvi za sporočanje.
Oba raziskovalca sta ustvaril orodje ki prikazuje ta postopek izkoriščanja na posnetkih zaslona, ki jih posredujete, posnetih iz več Googlovih naprav, kot je Pixel 7 Pro. To je lahko precej zastrašujoče videti v akciji, če upoštevamo, da so kakršna koli urejanja, narejena za blokiranje določenih informacij, ali popolnoma obrezane slike spet v svoji polni, izvirni obliki. Drugi imajo oglasil se je na Twitterju s svojimi lastnimi posnetki zaslona, ki so se pojavili v testerju, da bi videli, da njihovi prej mislili, da zavrženi zapisi niso resnično izginili.
Zdi se, da ta težava ni vplivala na slike JPEG, kar je lahko posledica razlik v tem, kako vsaka vrsta datoteke obravnava podatke. Toda tudi z marčevsko posodobitvijo bi lahko bile izpostavljene starejše urejene datoteke PNG, ki so že bile poslane.
Predstavljamo akropalipso: resna ranljivost zasebnosti v vgrajenem urejanju posnetkov zaslona Google Pixel orodje Markup, ki omogoča delno obnovitev izvirnih, neurejenih slikovnih podatkov obrezanih in/ali redigiranih posnetek zaslona. Velika hvala @David3141593 za njegovo pomoč! pic.twitter.com/BXNQomnHbr17. marec 2023
Poglej več
- Telefonske ponudbe: Najboljši nakup | Walmart | Samsung | Amazon | Verizon | AT&T