安全研究人員發現,Google Pixel 設備上的裁剪螢幕截圖可能會被用來存取用戶數據,例如登入詳細資訊、訊息、照片和其他銀行資訊。
修復並不能完全解決問題
該漏洞由逆向工程師 Simon Aarons 和 David Buchanan 發現,並已被 Google 修正,但不幸的是,該漏洞並不能解決更新前已在線共享的修改螢幕截圖的問題。該缺陷被稱為“aCropalypse”,允許某人部分恢復使用“標記”工具編輯的 PNG 螢幕截圖,該工具預設安裝在 Google Pixel 智慧型手機上。
在分享之前,您可能需要裁剪螢幕截圖或遮蓋資訊。當您不希望自己的姓名、電子郵件地址、電話號碼或銀行資訊出現在相關圖像上時,通常會發生這種情況。使用「Acropalypse」漏洞的駭客可以逆轉您對螢幕截圖所做的一些更改,以獲取您認為隱藏的敏感資訊。
正如 Aarons 和 Buchanan 指出的那樣,存在問題的缺陷是因為它將螢幕截圖保存在與修改後的圖像相同的位置,而沒有刪除原始版本。據報導,該問題是在 Android 9 Pie 引入「標記」工具的同時出現的。一個更令人擔憂的缺陷是,多年來在網路上共享的圖像仍然容易受到這種攻擊。
有些平台避免了這個缺陷,有些則不然。
Twitter 等一些網站在將圖像發佈到社交網路上之前會對其進行重新處理,這有助於消除此缺陷的漏洞。就其本身而言,Discord 在 1 月 17 日的更新中修正了這一漏洞。不幸的是,在此日期之前在平台上共享的圖像仍然面臨風險。
引入 acropalypse:Google Pixel 內建螢幕截圖編輯工具 Markup 中存在嚴重的隱私漏洞,可部分恢復裁剪和/或編輯的螢幕截圖的原始、未經編輯的圖像資料。非常感謝@大衛3141593感謝他全程的幫助!pic.twitter.com/BXNQomnHbr
— 西蒙‧阿倫斯 (@ItsSimonTime)2023 年 3 月 17 日
正如您在上圖中看到的,有一張信用卡的裁剪圖像已被裁剪並發佈到 Discord。用戶確保在螢幕截圖中隱藏了卡號,但 Aarons 仍然能夠利用 Acropalypse 漏洞將其顯示出來。
2023 年 1 月,Google收到了警報。該公司在 Pixel 4a、5a、Pixel 7 和 7 Pro 的 3 月安全更新中修復了該問題。目前尚不清楚該補丁何時會推廣到其他 Pixel 設備。
就在谷歌安全團隊發現重大安全漏洞幾天后,該漏洞就出現了。後者涉及 Pixel 6 的三星 Exynos 調變解調器,像素7以及一些 Galaxy S22 和 A53。它允許駭客遠端破壞設備,只需使用受害者的電話號碼即可。
來源 : 朝九晚五穀歌
