Yarın, Pixel 6 kullanıcıları QPR2’nin Mart güvenlik düzeltme ekini içeren kararlı sürümünü yükleyebilmelidir. Ve QPR3 Beta 1 güncellemesini yükleyenler (gerçekten sizinki gibi) Mart güvenlik yamasına zaten sahipken, Pixel 6 serisini kullananların geri kalanı, kötü bir aktörün yalnızca bir telefon numarası bilgisine sahip olmasına izin veren kötü bir güvenlik açığından korunacak. bu cihazlarda kullanılan Exynos modem çipindeki bir kusur aracılığıyla gelen ve giden verilere erişmek.
Başka bir güvenlik açığı, Mart ayı güvenlik düzeltme eki tarafından giderilir, ancak yalnızca güncelleştirmeyi yüklemek tüm sorunlarınızı ortadan kaldırmaz. göre
9to5Google, tersine mühendisler Simon Aaarons ve David Buchanan, Pixel’in İşaretleme olarak bilinen kendi ekran görüntüsü düzenleme aracını etkileyen “aCropalypse” adlı bir kusur keşfettiler. Kusur, kötü bir aktörün İşaretleme’de PNG ekran görüntülerinden yapılan düzenlemeleri tersine çevirmesine izin verebilir.
İşaretleme, 2018’de Android 9 Pie’nin bir parçası olarak piyasaya sürüldü ve kullanıcıların ekran görüntülerini kırpmasına, çizmesine, metin eklemesine ve vurgulamasına olanak tanıyor. Örnek olarak bankanızın internet sitesinden kredi kartınızın ekran görüntüsünü aldınız diyelim. İşaretleme yoluyla sağlanan siyah işaretleyici aracını kullanarak kapattığınız kart numarası dışındaki her şeyi kırparsınız. Bu görüntüyü belirli platformlarda paylaşırsanız güvenlik açığı, saldırganın orijinal, düzenlenmemiş ekran görüntüsünün çoğunu kırpılmadan veya düzenlenmeden önce görmesine olanak verebilir.
aCropalypse kusurunun düzenlenmiş bir ekran görüntüsünden kişisel bilgileri nasıl açığa çıkarabileceğine dair örnek
Başka bir deyişle, düzenlemeler tersine çevrilebilir ve kartın hesap numarasının üzerindeki siyah çizgiler kaybolarak gizlenen bilgiler ortaya çıkar. Aslında, ekran görüntüsünün %80’i kurtarılabilir ve muhtemelen adresler, telefon numaraları ve diğer özel veriler gibi diğer kişisel bilgilerin görüntülenmesine izin verir.
Bunun nedeni, İşaretleme’nin önceden düzenlenmiş orijinal, önceden kırpılmış ekran görüntüsünü düzenlenen ekran görüntüsüyle aynı dosya konumuna kaydetmesi ve orijinal görüntüyü hiçbir zaman silmemesidir. Twitter gibi bazı platformlar, kusuru ortadan kaldıran görüntüyü yeniden işleyecek, Discord, sitesine Ocak ayına kadar yama yapmadı, bu da platformda 17 Ocak’tan önce yayınlanan görüntülerin savunmasız olabileceği anlamına geliyor.
Açık, Mart güvenlik düzeltme ekinde CVE-2023-21036 olarak belirlendi. CVE, Ortak Güvenlik Açıkları ve Etkilenmeler anlamına gelir ve kusurları tanımlamak, kataloglamak ve teşvik etmek için kullanılır.
acropalypse.app adresinde kullanabileceğiniz bir web sitesi var (veya
bu bağlantıya dokunun) daha önce paylaştığınız bir ekran görüntüsünün kötüye kullanılıp kullanılamayacağını belirlemek için. Bu güvenlik açığının ilk olarak beş yıl kadar önce ortaya çıktığını düşünürsek, bazı bilgileri gizlemek için düzenlediğiniz bazı paylaşılan ekran görüntülerine sahip olabilirsiniz. Mart ayı güvenlik güncellemesini Pixel telefonunuza yükledikten sonra bile paylaştığınız platforma bağlı olarak gizli veriler risk altında olabilir.
