Ελάττωμα Google Pixel επέτρεπε την ανάκτηση cropped εικόνων

1 year ago 71

Teo Ehc

Τα τελευταία χρόνια, μια ευπάθεια Acropalypse στο εργαλείο Markup του Google Pixel αποτελούσε σοβαρή απειλή για την ασφάλεια, επιτρέποντας σε κακόβουλους χρήστες να αποκαλύπτουν εν μέρει το περιεχόμενο επεξεργασμένων ή επεξεργασμένων εικόνων και screenshot – ακόμη και εκείνων που είχαν περικοπεί ή είχαν αποκρύψει τα contents τους!

markup

Δείτε επίσης: Google Pixel 7a: Διαρροή μας δείχνει το σχέδιο της νέας συσκευής!

Το εργαλείο Markup είναι ένα ενσωματωμένο πρόγραμμα επεξεργασίας εικόνων που σας επιτρέπει να επεξεργαστείτε, να περικόψετε και να αλλάξετε εικόνες σε μια συσκευή Google Pixel.

Οι ερευνητές ασφαλείας Simon Aarons και David Buchanan αποκάλυψαν μια σημαντική ευπάθεια που κρυβόταν για πέντε χρόνια. Με την ονομασία “Acropalypse”, η ευπάθεια αυτή μπορεί ακόμη και σήμερα να χρησιμοποιηθεί για την ανάκτηση ευαίσθητων πληροφοριών από επεξεργασμένες εικόνες, όπως ανέφεραν στο Twitter οι δύο ερευνητές.

Ζωή Κωνσταντοπούλου: Καταιγιστικές εξελίξεις για τον Alexander Vinnik

SecNewsTV 1 Αυγούστου, 7:56 πμ

12o Infocom Security 2022 - Παρουσιάσεις και συνεντεύξεις

SecNewsTV 7 Ιουλίου, 10:27 μμ

Ζωη Κωνσταντοπούλου: Εξελίξεις στο ΣΤΕ για τον Mr Bitcoin

SecNewsTV 18 Μαΐου, 1:06 μμ

Giannis Andreou LIVE : Crypto, NFT, Metaverse προβλέψεις

SecNewsTV 3 Μαρτίου, 12:57 πμ

LIVE: GoldDigger credential detection & PinataHub platform

SecNewsTV 29 Ιανουαρίου, 1:24 πμ

LIVE : SocialTruth project - Το σύστημα εντοπισμού fake news

SecNewsTV 1 Οκτωβρίου, 12:54 πμ

Ο Aaron έδειξε πώς μπόρεσαν να εκμεταλλευτούν την ευπάθεια Acropalypse για να ανακτήσουν την εικόνα – είχε γίνει upload στο Discord – μιας πιστωτικής κάρτας που ήταν μερικώς καλυμμένη χρησιμοποιώντας το εργαλείο Markup. Παρά τη χρήση της λειτουργίας μαύρου μαρκαδόρου, ο Aaron κατάφερε να επαναφέρει κάθε λεπτομέρεια!

Αφού έτρεξαν τη φωτογραφία μέσω του Acropalypse exploit τους, ανέκτησαν την αρχική εικόνα, όπως φαίνεται παρακάτω.

Google Pixel

Οι ερευνητές έκαναν επίσης διαθέσιμο στο κοινό το screenshot recovery utility Acropalypse, ώστε οι κάτοχοι Pixel να μπορούν να ελέγξουν αν οι φωτογραφίες που έχουν υποστεί επεξεργασία μπορούν να διασωθούν.

Οι ερευνητές ανέφεραν το ελάττωμα στην Google τον Ιανουάριο του 2023 και η εταιρεία το διόρθωσε μέσω μιας ενημέρωσης που κυκλοφόρησε στις 13 Μαρτίου 2023, παρακολουθώντας το ως CVE-2023-21036.

Πιστεύεται ότι το πρόβλημα προέρχεται από τον τρόπο με τον οποίο ανοίχτηκε το αρχείο εικόνας για επεξεργασία, με αποτέλεσμα να παραμένουν περικομμένα δεδομένα σε μια αποθηκευμένη εικόνα και να είναι δυνατή η αποκατάσταση σχεδόν του 80% της αρχικής της μορφής.

Δείτε επίσης: Android 13 QPR2: Ενημέρωση ήρθε για τα Google Pixel 7

Τα δεδομένα που αφαιρέθηκαν με τη χρήση του εργαλείου Markup της Pixel θα μπορούσαν να αποκαλυφθούν εάν δεν αντιμετωπιστεί η ευπάθεια, με αποτέλεσμα να διαρρεύσουν εμπιστευτικές πληροφορίες στο διαδίκτυο.

Εάν δημοσιεύετε σε πλατφόρμες που δεν μειώνουν την ποιότητα των αναρτημένων μέσων, τότε τυχόν ευαίσθητες πληροφορίες θα παραμείνουν ανέπαφες.

Αν και σύντομα θα διατεθούν πρόσθετες λεπτομέρειες σχετικά με το πρόβλημα σε ξεχωριστό δικτυακό τόπο, δεν είναι ακόμη προσβάσιμες αυτή τη στιγμή.

Στο ιστολόγιό του, ο Buchanan αποκάλυψε περαιτέρω τεχνικές λεπτομέρειες σχετικά με το ζήτημα.

Δεν μπορείτε να κάνετε και πολλά!

Παρά τις προσπάθειες της Google να διορθώσει το πρόβλημα με την πρόσφατη ενημέρωση λογισμικού, όλες οι φωτογραφίες που κοινοποιήθηκαν τα τελευταία πέντε χρόνια εξακολουθούν να είναι επιρρεπείς στην επίθεση Acropalypse – ένα σφάλμα που δεν μπορεί να διορθωθεί αναδρομικά.

Αυτή η δυσλειτουργία θα μπορούσε να έχει εκτεταμένες συνέπειες για τους χρήστες που ανέβασαν screenshot με εμπιστευτικές πληροφορίες που αποκρύφτηκαν με τη χρήση του Markup.

Δυστυχώς, το ζήτημα επηρεάζει όλα τα μοντέλα Pixel που εκτελούν Android 9 Pie και μεταγενέστερη έκδοση, όταν εισήχθη το εργαλείο Markup, και μέχρι την ενημέρωση ασφαλείας του Φεβρουαρίου 2023.

Δείτε επίσης: Google Pixel 8 Pro: Νέα leaks δείχνουν ένα νέο χαρακτηριστικό

Τέλος, το Acropalypse έχει τη δυνατότητα να επηρεάσει τηλέφωνα που δεν είναι Pixel και χρησιμοποιούν διανομές τρίτων κατασκευαστών για το Android, οι οποίες εκμεταλλεύονται το εργαλείο Markup κατά την επεξεργασία στιγμιότυπων οθόνης/εικόνων.

Πηγή πληροφοριώμ: bleepingcomputer.com

Teo Ehc

Read Original