/cdn.vox-cdn.com/uploads/chorus_asset/file/24100063/226337_Pixel_7_and_7_Pro_AKrales_0110.jpg){kind=tracking}
影響 Google Pixel 默認屏幕截圖編輯實用程序 Markup 的安全漏洞允許圖像部分“未經編輯”,可能會洩露用戶選擇隱藏的個人信息,因為 早些時候發現 9to5谷歌 和 安卓警察. 該漏洞是 被逆向工程師發現 Simon Aaarons 和 David Buchanan,此後已被谷歌修補,但對更新前共享的經過編輯的屏幕截圖仍有廣泛影響。
詳見 Aaarons 在 Twitter 上發布的帖子,恰當地命名為“aCropalypse”的缺陷使某人有可能部分恢復在標記中編輯的 PNG 屏幕截圖。 這包括有人可能使用該工具裁剪或塗寫他們的姓名、地址、信用卡號碼或屏幕截圖可能包含的任何其他類型的個人信息的情況。 不法分子可以利用此漏洞來逆轉其中的一些更改,並獲取用戶認為他們一直隱藏的信息。
在即將到來的 常見問題頁面 早期獲得 9to5谷歌, Aarons 和 Buchanan 解釋說,存在這個缺陷是因為 Markup 將原始屏幕截圖保存在與編輯後的屏幕截圖相同的文件位置,並且從不刪除原始版本。 如果屏幕截圖的編輯版本小於原始版本,“在新文件應該結束之後,原始文件的結尾部分會被留下。”
根據 到布坎南,這個錯誤大約在五年前首次出現,大約在同一時間谷歌在 Android 9 Pie 更新中引入了 Markup。 這就是讓這一切變得更糟的原因,因為使用 Markup 編輯並在社交媒體平台上共享的多年舊屏幕截圖可能容易受到攻擊。
常見問題解答頁面指出,雖然某些網站(包括 Twitter)會重新處理髮佈在平台上的圖像並消除這些缺陷,但其他網站(例如 Discord)卻不會。 Discord 僅在最近的 1 月 17 日更新中修補了漏洞,這意味著在該日期之前共享到平台的編輯圖像可能存在風險。 目前尚不清楚是否還有其他受影響的網站或應用程序,如果有,它們是哪些。
Aarons 發布的示例(嵌入在上方)顯示了一張張貼到 Discord 的信用卡的裁剪圖像,其中還使用標記工具的黑筆遮住了卡號。 一旦 Aarons 下載圖像並利用 aCropalypse 漏洞,圖像的頂部就會損壞,但他仍然可以看到在標記中被編輯掉的部分,包括信用卡號。 您可以閱讀更多關於該缺陷的技術細節 布坎南的博文.
在 Aarons 和 Buchanan 在 1 月份向 Google 報告了該漏洞 (CVE-2023-21036) 之後,該公司在 3 月份修復了該問題 安全更新 對於 Pixel 4A、5A、7 和 7 Pro,其嚴重性被歸類為“高”。 目前尚不清楚受該漏洞影響的其他設備何時會收到此更新,谷歌也沒有立即回應 邊緣要求提供更多信息。 如果你想自己看看這個問題是如何發生的,你可以上傳一張用未更新版本的標記工具編輯過的截圖 到這個演示頁面 由 Aarons 和 Buchanan 創建。 或者,您可以查看一些 可怕的 例子 發佈在網絡上。
在 Google 的安全團隊發現 Pixel 6、Pixel 7 以及部分 Galaxy S22 和 A53 型號中包含的三星 Exynos 調製解調器可能允許黑客僅使用受害者的電話號碼“遠程破壞”設備後幾天,這一漏洞就曝光了。 谷歌此後在其 3 月的更新中修復了這個問題,儘管這仍然不適用於 Pixel 6、6 Pro 和 6A 設備。