Novi dan, nova ranjivost na nekom telefonu. Sreća u nesreći je što je problem ovoga puta lokalizovan samo na Google Pixel uređaje. Bezbednosni propust je pronađen u Markup alatu koji dozvoljava hakerima da praktično ponište kropovanje neke slike ekrana koju ste snimili.
Ovo je problematično iz više razloga. Prvo, sečenje, odnosno kropovanje dela slike ekrana se radi zato što ne želite da taj kome šaljete vidi neke podatke. To može biti samo deo neke konverzacije, ali i lini podaci: ime, prezime, JMBG, adresa ili kartica. Zamislite da vam neko kaže da neki zlonamerni korisnik može da dobije pristup svim originalnim slikama koje ste snimali i to u zadnje četiri godine.
Iako je ranjivost sređena najnovijim kroz bezbednosnu zakrpu ovog meseca, ona i dalje predstavlja rizik za korisnike Pixel telefona.
Naime, Pixel telefoni su 2018. godine sa Android 9.0 dobili ugrađeni screenshot editor pod nazivom Markup. Alat se pojavljuje kad god napravite snimak ekrana, a dodirom na ikonu olovke u aplikaciji dobijate pristup alatima za kropovanje slike ili crtanja po njima, piše Ars Technica.
aCropalypse vraća vaše slike u originalno stanje
Sve bi to bilo sjajno da alat radi kako treba. Problem su identifikovali istraživači Sajmon Arons i Dejvid Bjukenan i nazvali su ga prikladno “aCropalypse”. Suština ovog baga je da slike čuvaju meta podatke koji, recimo hakerima, dozvoljavaju da ponište izmene koje ste načini na nekoj slici ekrana i vidi sve ono što vi niste želeli da pošaljete.
Introducing acropalypse: a serious privacy vulnerability in the Google Pixel’s inbuilt screenshot editing tool, Markup, enabling partial recovery of the original, unedited image data of a cropped and/or redacted screenshot. Huge thanks to @David3141593 for his help throughout! pic.twitter.com/BXNQomnHbr
— Simon Aarons (@ItsSimonTime) March 17, 2023
Osnovna suština problema je u tome što Google Markup alat zamenjuje originalnu datoteku slike ekrana, novom uređenom slikom ekrana, ali ni na koji način ne vrši skraćivanje ili kompresiju te datotetke, čuvajući sve originalne podatke o njoj. Ovo znači da će slike koje šaljete nekome imati veći dokument sa gomilom skrivenih i neželjenih podataka. Ti neželjeni podaci se sastoje od završnih delova vašeg originalnog snimka ekrana i zapravo ih je moguće povratiti.
Prema istraživačima, problem postoji već četiri godine. Iako je sada rešen i hakeri više ne mogu da vrate te podatke, sasvim je sigurno da na internetu postoji gomila slika ekrana koje su Pixel korisnici podelili i koji su još uvek u opasnosti od hakera.
Ovaj bag je izašao na videlo svega nekoliko dana nakon što je Google istraživački tim otkrio su Galaxy S22, Pixel 6 i mnogi drugi modeli telefona ugroženi zbog Exynos čipova, kada smo saznali da je hakerima bio dovoljan samo broj da dobiju pristup vašem telefonu.
Ako hoćete da probate da li možete da vratite neku od vaših slika koje ste kropovali, pomenuti istraživači su postavili alat na potpuno adekvatnom sajtu – acropalypse.app, pa nam možete reći da li je ovo zaista toliko strašno koliko izgleda.
Izvor: Benchmark.rs
