Google Pixel’in varsayılan ekran görüntüsü düzenleme yardımcı programı olan İşaretleme’yi etkileyen bir güvenlik kusuru, resimlerin kısmen “düzenlenmemiş” hale gelmesine olanak tanır ve kullanıcıların gizlemeyi tercih ettiği kişisel bilgileri potansiyel olarak açığa çıkarır. tarafından daha önce fark edildi 9to5Google Ve Android Polisi. Güvenlik açığı, tersine mühendisler tarafından keşfedildi Simon Aaarons ve David Buchanan, o zamandan beri Google tarafından yamalandı, ancak güncellemeden önce paylaşılan düzenlenmiş ekran görüntüleri üzerinde hala yaygın etkileri var.
ayrıntılı olarak Aaarons’ın Twitter’da yayınladığı bir ileti dizisi, uygun bir şekilde adlandırılan “aCropalypse” kusuru, birisinin İşaretleme’de düzenlenen PNG ekran görüntülerini kısmen kurtarmasını mümkün kılar. Bu, birinin aracı, adını, adresini, kredi kartı numarasını veya ekran görüntüsünün içerebileceği diğer herhangi bir kişisel bilgiyi kırpmak veya karalamak için kullanmış olabileceği senaryoları içerir. Kötü bir aktör, bu değişikliklerden bazılarını tersine çevirmek ve kullanıcıların sakladıklarını düşündükleri bilgileri elde etmek için bu güvenlik açığından yararlanabilir.
yakında SSS sayfası tarafından erken elde edilen 9to5Google, Aarons ve Buchanan, bu kusurun, İşaretleme’nin orijinal ekran görüntüsünü düzenlenen dosyayla aynı dosya konumuna kaydetmesi ve orijinal sürümü asla silmemesi nedeniyle var olduğunu açıklıyor. Ekran görüntüsünün düzenlenmiş versiyonu orijinalinden daha küçükse, “orijinal dosyanın sondaki kısmı, yeni dosyanın sona ermesinden sonra geride kalır.”
Binaen Buchanan’a, bu hata ilk olarak yaklaşık beş yıl önce, Google’ın Android 9 Pie güncellemesiyle İşaretleme’yi kullanıma sunduğu sıralarda ortaya çıktı. Markup ile düzenlenen ve sosyal medya platformlarında paylaşılan yıllarca eski ekran görüntüleri istismara karşı savunmasız olabileceğinden, durumu daha da kötüleştiren şey budur.
SSS sayfası, Twitter da dahil olmak üzere belirli sitelerin platformlarda yayınlanan görüntüleri yeniden işleyip kusurlarını ortadan kaldırdığını belirtirken, Discord gibi diğerlerinin bunu yapmadığını belirtir. Discord, açığı 17 Ocak’ta yaptığı bir güncellemeyle yamaladı, bu da bu tarihten önce platformda paylaşılan düzenlenmiş görüntülerin risk altında olabileceği anlamına geliyor. Etkilenen başka site veya uygulama olup olmadığı ve varsa hangileri olduğu hala net değil.
Aarons tarafından yayınlanan örnek (yukarıda gömülü), Discord’a gönderilmiş bir kredi kartının kırpılmış bir görüntüsünü gösteriyor ve kart numarası İşaretleme aracının siyah kalemi kullanılarak bloke edilmiş. Aarons görüntüyü indirip aCropalypse güvenlik açığından yararlandığında, görüntünün üst kısmı bozulur, ancak kredi kartı numarası da dahil olmak üzere İşaretleme’de düzenlenen parçaları hâlâ görebilir. Kusurun teknik detayları hakkında daha fazla bilgiyi şuradan okuyabilirsiniz: Buchanan’ın blog gönderisi.
Aarons ve Buchanan, kusuru (CVE-2023-21036) Ocak ayında Google’a bildirdikten sonra, şirket sorunu Mart ayında düzeltti. güvenlik güncellemesi şiddeti “yüksek” olarak sınıflandırılan Pixel 4A, 5A, 7 ve 7 Pro için. Bu güncellemenin güvenlik açığından etkilenen diğer cihazlar için ne zaman geleceği belli değil ve Google hemen yanıt vermedi. Sınırdaha fazla bilgi için istek. Sorunun kendiniz için nasıl çalıştığını görmek istiyorsanız İşaretleme aracının güncellenmemiş bir sürümüyle düzenlenmiş bir ekran görüntüsü yükleyebilirsiniz. bu tanıtım sayfasına Aarons ve Buchanan tarafından yaratıldı. Veya, bazılarına göz atabilirsiniz. korkutucu örnekler web’de yayınlandı.
Bu kusur, Google’ın güvenlik ekibinin Pixel 6, Pixel 7 ve belirli Galaxy S22 ve A53 modellerinde bulunan Samsung Exynos modemlerinin, bilgisayar korsanlarının yalnızca bir kurbanın telefon numarasını kullanarak cihazları “uzaktan ele geçirmesine” olanak tanıyabileceğini bulmasından birkaç gün sonra gün ışığına çıktı. Google, o zamandan beri sorunu Mart güncellemesinde düzeltti, ancak bu henüz Pixel 6, 6 Pro ve 6A cihazları için mevcut değil.