Hadley Simmons/Organ ds. Androida
TL; DR
- Luka w narzędziu Pixel Markup umożliwia hakerom cofnięcie modyfikacji i przycięcie zrzutów ekranu.
- Google naprawił problem w aktualizacji zabezpieczeń z marca 2023 r., ale zrzuty ekranu Pixela udostępnione wcześniej pozostają podatne na ataki.
Poważna luka wykryta w narzędziu Markup na telefonach Pixel może pozwolić hakerom na cofnięcie edycji i przycięcie zrzutów ekranu. zidentyfikowane przez badacza bezpieczeństwa Szymon Aaronsluka nosi nazwę „Acropalypse” i ma przypisany identyfikator CVE (Common Vulnerabilities and Exposures).
Załóżmy, że udostępniasz komuś zrzut ekranu swojego wyciągu bankowego i używasz narzędzia Pixel Markup do ukrywania poufnych informacji, takich jak numer konta bankowego lub saldo, luka w zabezpieczeniach pozwoli każdemu na odwołanie tych poufnych informacji, pod warunkiem, że wyślesz mu oryginalny plik zrzutu ekranu.
Większość aplikacji do przesyłania wiadomości i mediów społecznościowych kompresuje i ponownie przetwarza udostępnione obrazy, w takim przypadku hakowanie nie jest możliwe. Na przykład Twitter jest wolny od Acropalypse. Jednak Discord zaczął usuwać zrzuty ekranu z tych szczegółów dopiero w styczniu. Wszelkie zrzuty ekranu premium Pixel, które zostały udostępnione na platformie przed włamaniem.
Google wypuściło narzędzie Markup na telefony z systemem Android 9 Pixel w 2018 roku. Umożliwia ono przycinanie, dodawanie tekstu, rysowanie i wyróżnianie zrzutów ekranu. Luka może jednak pomóc hakerom usunąć tę modyfikację i uzyskać dostęp do zrzutu ekranu w jego oryginalnym stanie.
Chociaż Google rozwiązało problem w aktualizacji zabezpieczeń z marca 2023 r., zrzuty ekranu udostępnione przez Ciebie przed aktualizacją Pixeli nadal można wykorzystywać w najnowszym oprogramowaniu, a Twoje ukryte informacje można częściowo odzyskać. Aaron stworzył Prezentacja techniczna Z usterki, dzięki której można sprawdzić, czy zmodyfikowane zrzuty ekranu można cofnąć.
„Subtelnie czarujący nerd popkultury. Irytująco skromny fanatyk bekonu. Przedsiębiorca”.
More Stories
Google był gospodarzem I/O 2024 Demo Slam i otworzył hackaton dla pracowników
PSA: Jeśli posiadasz iPhone’a 7, możesz uzyskać rabat Apple aż do 349 USD
Tematy rozpoczynają się od krótkiego quizu przypominającego TweetDeck, obejmującego posty w czasie rzeczywistym