Google Pixel kullanıcılarını etkileyen, kullanıcıların en hassas bilgilerini açığa çıkarabilecek ve bazı durumlarda bunu yapmaya devam edebilecek bir güvenlik açığı keşfedildi.
Google, CVE-2023-21036 için bir düzeltme yayınlamış olsa da Mart güncellemesi (yeni sekmede açılır)yüksek riskli güvenlik açığı, bilgisayar korsanlarının Pixel cihazlarında görüntülerde yapılan birçok düzenlemeyi geri almasına izin veriyor.
Bu özellikle, kullanıcıların belirli yönleri kırparak veya öğeler üzerine görsel katmanlar uygulayarak banka kartları gibi resimlerdeki hassas bilgileri ortadan kaldırmak gibi fotoğrafları düzenlemesine olanak tanıyan İşaretleme özelliğiyle ilgilidir.
Piksel İşaretleme güvenlik açığı
Tersine mühendislere göre Simon Aarons (yeni sekmede açılır) Ve David Buchanan (yeni sekmede açılır)Düzenlenmiş – ve görünüşte güvenli – bir görüntüyle sorunu keşfeden kötü niyetli bir aktör, bazı durumlarda bu tür düzenlemeleri tersine çevirerek ‘akropalip’ olarak adlandırılan bir güvenlik açığındaki hassas bilgileri açığa çıkarabilir.
Birçoğumuz, Discord gibi meta verilerinin bir kısmını veya tamamını tercih eden kanallar aracılığıyla görüntüleri paylaşmayı tercih etsek de, bunun daha az güvenli olduğu kanıtlandı ve güvenlik açığı ortaya çıktı. Discord’un sorunu 2023 Ocak ayının ortalarında çözdüğünü belirtmekte fayda var. Buna karşılık, Twitter gibi platformlar görüntüleri farklı bir şekilde işler ve düzenlemeleri geri alınamaz hale getirir.
Açık, Pixel 3 ailesiyle çakışan Android 9 Pie’den kaynaklanıyor yani 4, 5, 6 ve son 7 model ailelerinin de etkilendiği söyleniyor.
Bazı cihazların yaşı göz önüne alındığında, şu anda yalnızca Pixel 4a ve daha yenisi güvenlik güncellemeleri (yeni sekmede açılır) 4 dahil olmak üzere önceki bazı modelleri ve ondan önceki her şeyi resmi destek olmadan bırakarak, bu nedenle hala savunmasız.
Ayrıca, güncellemeler kullanıma sunulmadan önce gönderilen düzenlenmiş ekran görüntüleri savunmasız kalır ve bu nedenle mümkünse kaldırılmalıdır.
TechRadar Pro Google’dan güvenlik açığını ortaya çıkarmaya devam eden herhangi bir cihaz olup olmadığını ve varsa yama uygulanıp uygulanmayacağını doğrulamasını istedi.