安全研究人员发现,Google Pixel 设备上的裁剪屏幕截图可能会被用来访问用户数据,例如登录详细信息、消息、照片和其他银行信息。
修复并不能完全解决问题
该漏洞由逆向工程师 Simon Aarons 和 David Buchanan 发现,并已被 Google 修正,但不幸的是,该漏洞并不能解决更新前已在线共享的修改屏幕截图的问题。该缺陷被称为“aCropalypse”,允许某人部分恢复使用“标记”工具编辑的 PNG 屏幕截图,该工具默认安装在 Google Pixel 智能手机上。
在共享之前,您可能需要裁剪屏幕截图或遮盖信息。当您不希望自己的姓名、电子邮件地址、电话号码或银行信息出现在相关图像上时,通常会出现这种情况。使用“Acropalypse”漏洞的黑客可以逆转您对屏幕截图所做的一些更改,以获取您认为隐藏的敏感信息。
正如 Aarons 和 Buchanan 指出的那样,存在问题的缺陷是因为它将屏幕截图保存在与修改后的图像相同的位置,而没有删除原始版本。据报道,该问题是在 Android 9 Pie 引入“标记”工具的同时出现的。一个更令人担忧的缺陷是,多年来在网络上共享的图像仍然容易受到这种攻击。
有些平台避免了这个缺陷,有些则不然。
Twitter 等一些网站在将图像发布到社交网络上之前会对其进行重新处理,这有助于消除此缺陷的漏洞。就其本身而言,Discord 在 1 月 17 日的更新中纠正了这一漏洞。不幸的是,在此日期之前在平台上共享的图像仍然面临风险。
引入 acropalypse:Google Pixel 内置屏幕截图编辑工具 Markup 中存在严重的隐私漏洞,可部分恢复裁剪和/或编辑的屏幕截图的原始、未经编辑的图像数据。非常感谢@大卫3141593感谢他全程的帮助!pic.twitter.com/BXNQomnHbr
— 西蒙·阿伦斯 (@ItsSimonTime)2023 年 3 月 17 日
正如您在上图中看到的,有一张信用卡的裁剪图像已被裁剪并发布到 Discord。用户确保在屏幕截图中隐藏了卡号,但 Aarons 仍然能够利用 Acropalypse 漏洞将其显示出来。
2023 年 1 月,谷歌收到了警报。该公司在 Pixel 4a、5a、Pixel 7 和 7 Pro 的 3 月份安全更新中修复了该问题。目前尚不清楚该补丁何时会推广到其他 Pixel 设备。
就在谷歌安全团队发现重大安全漏洞几天后,该漏洞就出现了。后者涉及 Pixel 6 的三星 Exynos 调制解调器,像素7以及一些 Galaxy S22 和 A53。它允许黑客远程破坏设备,只需使用受害者的电话号码即可。
来源 : 朝九晚五谷歌