Google Pixel'in işaretleme aracındaki bir 'akropalypse' kusuru, son beş yıldır kırpılmış veya içeriği maskeli olanlar da dahil olmak üzere düzenlenmiş veya düzeltilmiş ekran görüntülerini ve görüntülerini kısmen kurtarmayı mümkün kıldı.
İşaretleme aracı, bir Google Pixel cihazında görüntüleri düzeltmenize, kırpmanıza ve değiştirmenize olanak tanıyan yerleşik bir görüntü düzenleyicisidir.
Güvenlik açığı, Twitter'da "Akropalypse" olarak adlandırdıkları bir saldırı kullanarak son beş yıldır düzenlenmiş görüntülerden hassas bilgileri kurtarmanın mümkün olduğunu bildiren güvenlik araştırmacıları Simon Aarons ve David Buchanan tarafından keşfedildi.
Aarons, markup aracının siyah işaretleyici özelliği kullanılarak numarası düzeltilmiş bir kredi kartının anlaşmazlığına yüklenen bir fotoğrafı geri yüklemek için akropalypse kusurunu nasıl kullandıklarına bir örnek paylaştı.
Fotoğrafı akropalypse istismarından çalıştırdıktan sonra, aşağıda gösterildiği gibi orijinal görüntüyü kurtardılar.
Araştırmacılar ayrıca, piksel sahiplerinin kendi düzeltilmiş görüntülerini test etmelerini ve geri kazanılabilir olup olmadıklarını görmek için çevrimiçi bir Acropalypse ekran görüntüsü kurtarma yardımcı programı yayınladılar.
Araştırmacılar, Ocak 2023'te Google'a kusur bildirdi ve şirket, 13 Mart 2023'te yayınlanan bir güncelleme yoluyla sabitleyerek CVE-2023-21036 olarak izledi.
Sorunun, görüntü dosyasının düzenleme için nasıl açıldığından kaynaklandığına inanılıyor, bu da kesik verilerin kaydedilmiş bir görüntüde geride kalmasına ve orijinal sürümün yaklaşık% 80'inin geri kazanılabilir olmasına izin veriyor.
Güvenlik açığı, medyayı başkalarıyla paylaşmadan veya çevrimiçi olarak göndermeden önce Pixel’in işaretleme aracı kullanılarak düzeltildiği hassas bilgileri ortaya çıkarabilir.
Bu, kullanıcı yüklü ortamı sıkıştırmayan platformlarda yayınlama için geçerlidir, bu nedenle hassas veriler, eğer varsa, bozulmadan kalır.
Sorun hakkında daha fazla bilgi içeren bir SSS yakında özel bir web sitesinde yayınlanacak, ancak yazma sırasında kullanılamıyorlar.
Buchanan, blogundaki sorun hakkında bazı ek teknik ayrıntılar açıkladı.
Google'ın piksel telefonlar için son güncellemede sorunu çözmesine rağmen, son beş yılda paylaşılan görüntüler akropalypse saldırısına karşı savunmasızdır ve bunu düzeltmek için hiçbir şey yapılamaz.
Bu nedenle, kusurun işaretleme aracı kullanılarak düzeltilmiş hassas bilgilerle ekran görüntüleri yükleyen kullanıcılar için ciddi gizlilik etkileri olabilir. Ayrıca, görüntünün belirli kısımları daha önce düzeltilmiş, ancak şimdi kurtarılabilir olan, kendilerinin resimlerini paylaşan kullanıcılar için de etkisi olabilir.
Ne yazık ki, sorun Android 9 Pie ve daha sonra çalıştıran tüm piksel modellerini etkiler, bu da işaretleme aracı tanıtıldığı zaman ve Şubat 2023 güvenlik güncellemesine kadar.
Google'ın, üç aylık "piksel özellik düşüşü" ile çakışması nedeniyle bir haftalık gecikme ile Pixel 4A, 5A, 7 ve 7 Pro için Mart 2023 Güvenlik Güncellemesi'ni ve ayrıca 18 sıfır günlük kusurun keşfi yayınladığına dikkat edilmelidir. Pixel 6 ve 7 serisinde kullanılan Exynos modemlerinde.
Bununla birlikte, Mart 2023 güvenlik güncellemesinin hala bu modeller için yayınlanması gerektiğinden, bunu Pixel 6A, 6 ve 6 Pro için yazarken hem Exynos kusurlarının hem de işaretleme güvenlik açığının hala düzeltilmesi gerekiyor.
Son olarak, Acropalypse, ekran görüntüsü/görüntü düzenleme için işaretleme aracını kullanan üçüncü taraf Android dağıtımlarını kullanarak piksel olmayan akıllı telefonları etkileyebilir.
Tersinir kırpma ile benzer bir sorun, Google Dokümanlar'da yakın zamanda keşfedildi ve yalnızca görünüm erişimi olan kişilerin paylaşılan belgelerde kırpılmış görüntülerin orijinal sürümlerini kurtarmasını sağladı.
Windows 11 Snipping Aracı Gizlilik Hatası Kırpılmış Görüntü İçeriğini Gösteriyor
Bilgisayar korsanları çoğunlukla 2022'de Microsoft, Google, Apple Zero-Days'i hedef aldı
Coinbase Cüzdan 'Kırmızı Hap' Kusur Saldırıların Tespitten Kaçmasına İzin Verdi
Hitachi Energy, Clop Goany Where saldırılarından sonra veri ihlalini teyit ediyor
Genel bayt bitcoin ATM'ler sıfır gün kullanılarak hacklendi, 1,5 milyon dolar çalındı
Kaynak: Bleeping Computer