Jeśli posiadasz smartfon Google Pixel od czasu pojawienia się serii 3 w 2018 roku, są złe wieści: każdy zrzut ekranu, który przyciąłeś lub wyretuszowałeś na telefonie Pixel, prawdopodobnie zostanie przywrócony bez większego zamieszania.
Inżynierowie wsteczni Simon Aarons i David Buchanan, którzy znaleźli błąd i stworzyli odpowiednio narzędzie do odzyskiwania dowodu koncepcji, nazwali go CropalipsI Mężczyzna „Ten błąd jest zły” dla osób, które martwią się o swoją prywatność.
Usterka polega na tym, że aplikacja Google do edycji zdjęć, która jest dostępna dla linii Pixel, przycina pliki PNG po ich edycji – to znaczy nie, jak opisał Buchanan w Pismo podczas weekendu.
Zasadniczo, jeśli używasz aplikacji do przycinania wrażliwych elementów ze zrzutu ekranu, kod Google nie zmniejsza odpowiednio rzeczywistego rozmiaru pliku, pozostawiając przyciętą część czającą się na końcu ciągu danych, którą można zrekonstruować. Nawet jeśli nie widać przyciętego obszaru w przeglądarce obrazów, dane nadal znajdują się w pliku i można je odzyskać.
Oznacza to, że jeśli ktoś zdobędzie twoje przycięte zdjęcie, może spróbować odzyskać pozornie brakującą część. Jeśli obraz został wyretuszowany przez bazgranie na pewnych obszarach, obszary te mogą być widoczne na przywróconym obrazie. To nie jest dobre dla prywatności.
Google załatał acropalypse, o której Buchanan powiedział, że będzie śledzona CVE-2023-21036W Marcowe aktualizacje zabezpieczeń Pixela. To wszystko dobrze i dobrze w przyszłości — możesz teraz przycinać, retuszować i udostępniać swoje zdjęcia bez obawy, że Twoje przyszłe zdjęcia mogą zostać przywrócone — ale nie ma Nie uczestniczy Odsłonięte zrzuty ekranu exploitów, przez które już przeszedłeś, prześlij na Discord itp.
Buchanan powiedział, że Google nie wydał jeszcze ostrzeżenia o błędzie dotyczącym bezpieczeństwa. Zapytaliśmy giganta reklamowego, jak zamierza poradzić sobie z powiadamianiem właścicieli Pixeli, których dotyczy problem, że mogą mieć poufne dane krążące w Internecie, i nie otrzymaliśmy odpowiedzi w momencie publikacji.
T jak segment, nie dorozumiany (w Androidzie 10+)
Książka Buchanana bardzo szczegółowo opisuje, jak znaleźć to, co uważa za pierwotną przyczynę cherubinów: cicha zmiana Od Androida 9 do Androida 10 zapewnia funkcjonalność Java zapewnianą przez system operacyjny parseMode() Wymaga teraz argumentu „wt”, gdy aplikacja chce nadpisać plik i skrócić go do krótszej długości, a nie tylko „w”.
W przeszłości „w” i tak wcinało się do pliku; Od Androida 10 funkcjonalność wymaga wyraźnej „wagi”. Kodowanie Google nadal używało „w”, kiedy powinno było używać „wt”, więc obcięcie nigdy nie miało miejsca na Androidzie 10+, pozostawiając poprzednie dane obrazu na końcu PNG.
Według Aaronsa: „Kiedy przycinasz i zapisujesz zrzut ekranu, [Markup] Zastępuje obraz nową wersją, ale pozostawia resztę oryginalnego pliku na swoim miejscu, ponieważ Markup nie mówi Androidowi, aby obcinał plik, gdy zmiany są w nim zapisywane.
(Z technicznego punktu widzenia, parseMode() Po prostu konwertuje ciąg znaków opisujący typ dostępu, którego żąda aplikacja, np. „wt”, na maskę bitową, z którą ma być używany open(). parseMode() Nie uzyskuje dostępu do rzeczywistego pliku, pomaga aplikacji przygotować się do niego.)
Efektem końcowym jest otwarcie pliku obrazu bez rozszerzenia [truncate] Buchanan powiedział: „Uważaj, aby oryginalny obraz nie został obcięty podczas zapisywania przyciętego obrazu. Jeśli nowy plik obrazu jest mniejszy, pozostaje koniec oryginalnego zdjęcia”.
Okazało się, że części pliku, które miały zostać obcięte, można było odzyskać jako obrazy po inżynierii wstecznej metodologii biblioteki kompresji zlib, co Buchan twierdzi, że był w stanie zrobić „po kilku godzinach majsterkowania”. Efekt końcowy to dowód słuszności koncepcji, z którego może skorzystać każdy, kto ma wadliwe urządzenie Pixel spróbować dla siebie.
Przy okazji upewnij się, że masz zainstalowaną najnowszą serię aktualizacji zabezpieczeń Androida, niezależnie od tego, czy masz urządzenie Pixel, czy nie.
Co mam z tym zrobić? Jeśli masz urządzenie Pixel, którego dotyczy problem, i przycinasz lub redagujesz i udostępniasz zrzuty ekranu, istnieje duże prawdopodobieństwo, że osoba, która je ma, będzie w stanie odzyskać te dane. Po zainstalowaniu aktualizacji przyszłe zrzuty ekranu powinny być w porządku. ®
„Lekarz gier. Fanatyk zombie. Studio muzyczne. Kawiarni ninja. Miłośnik telewizji. Miły fanatyk alkoholik.
