W narzędziu do oznaczania na telefonach Pixel wykryto krytyczną lukę

Poważna luka wykryta w narzędziu Markup na telefonach Pixel może pozwolić hakerom na cofnięcie edycji i przycięcie zrzutów ekranu. zidentyfikowane przez badacza bezpieczeństwa Szymon Aaronsluka nosi nazwę „Acropalypse” i ma przypisany identyfikator CVE (Common Vulnerabilities and Exposures).

Załóżmy, że udostępniasz komuś zrzut ekranu swojego wyciągu bankowego i używasz narzędzia Pixel Markup do ukrywania poufnych informacji, takich jak numer konta bankowego lub saldo, luka w zabezpieczeniach pozwoli każdemu na odwołanie tych poufnych informacji, pod warunkiem, że wyślesz mu oryginalny plik zrzutu ekranu.

Większość aplikacji do przesyłania wiadomości i mediów społecznościowych kompresuje i ponownie przetwarza udostępnione obrazy, w takim przypadku hakowanie nie jest możliwe. Na przykład Twitter jest wolny od Acropalypse. Jednak Discord zaczął usuwać zrzuty ekranu z tych szczegółów dopiero w styczniu. Wszelkie zrzuty ekranu premium Pixel, które zostały udostępnione na platformie przed włamaniem.

Google wypuściło narzędzie Markup na telefony z systemem Android 9 Pixel w 2018 roku. Umożliwia ono przycinanie, dodawanie tekstu, rysowanie i wyróżnianie zrzutów ekranu. Luka może jednak pomóc hakerom usunąć tę modyfikację i uzyskać dostęp do zrzutu ekranu w jego oryginalnym stanie.

Chociaż Google rozwiązało problem w aktualizacji zabezpieczeń z marca 2023 r., zrzuty ekranu udostępnione przez Ciebie przed aktualizacją Pixeli nadal można wykorzystywać w najnowszym oprogramowaniu, a Twoje ukryte informacje można częściowo odzyskać. Aaron stworzył Prezentacja techniczna Z usterki, dzięki której można sprawdzić, czy zmodyfikowane zrzuty ekranu można cofnąć.