Уязвимость Google Pixel позволяет злоумышленникам отменять изменения и исправления скриншотов Markup | Fanoftech

Когда Google начал выпускать Android , компания устранила уязвимость «высокой степени серьезности», связанную с инструментом для создания скриншотов Pixel’s Markup. На выходных, и реверс-инженеры, обнаружившие CVE-2023-21036, поделились дополнительной информацией об уязвимости в системе безопасности, показав, что пользователи Pixel по-прежнему подвержены риску компрометации своих старых изображений из-за надзора со стороны Google.

  Мы в Telegram

Короче говоря, недостаток «aCropalypse» позволял кому-то сделать снимок экрана в формате PNG, обрезанный в разметке, и отменить по крайней мере некоторые изменения в изображении. Легко представить сценарии, в которых злоумышленник может злоупотребить этой возможностью. Например, если владелец Pixel использовал разметку для редактирования изображения, которое содержало конфиденциальную информацию о нем, кто-то мог воспользоваться этой уязвимостью, чтобы раскрыть эту информацию. Техническую информацию вы можете найти на .

По словам Бьюкенена, уязвимость существует уже около пяти лет, что совпало с выпуском Markup вместе с . И в этом заключается проблема. Хотя мартовское исправление безопасности предотвратит компрометацию изображений в будущем, некоторые скриншоты, которыми пользователи Pixel могли поделиться в прошлом, все еще находятся под угрозой.


Трудно сказать, насколько пользователи Pixel должны быть обеспокоены этим недостатком. Согласно предстоящему Ааронс и Бьюкенен поделились с и , некоторые веб-сайты, в том числе Twitter, обрабатывают изображения таким образом, что кто-то не может воспользоваться уязвимостью для обратного редактирования снимка экрана или изображения. Пользователям на других платформах не так повезло. Ааронс и Бьюкенен конкретно указывают Discord, отмечая, что приложение чата не исправляло эксплойт до недавнего обновления от 17 января. На данный момент неясно, остались ли уязвимыми изображения, размещенные в других социальных сетях и приложениях чата.

Google не сразу ответил на запрос Fanoftech о комментариях и дополнительной информации. Мартовское обновление безопасности в настоящее время доступно для Pixel 4a, 5a, 7 и 7 Pro, а это означает, что разметка по-прежнему может создавать уязвимые изображения на некоторых устройствах Pixel. Пока неясно, когда Google выпустит патч на другие устройства Pixel. Если у вас есть телефон Pixel без исправления, избегайте использования разметки для обмена конфиденциальными изображениями.

Нажмите здесь, чтобы узнать больше новостей


Leave a Comment

Your email address will not be published. Required fields are marked *