Er is een kwetsbaarheid ontdekt in Google Pixel waardoor je wijzigingen ongedaan kunt maken die je met de screenshot-tool hebt gemaakt.

Google lost een kritieke kwetsbaarheid op in zijn tool voor het bewerken van screenshots. Binnen vijf jaar was het mogelijk om wijzigingen in afbeeldingen ongedaan te maken.

Toen Google een paar dagen geleden begon met het uitrollen van de beveiligingsupdate van maart, loste het bedrijf Mountain View een “hoge” kwetsbaarheid op die verband hield met Google’s Pixel Markup-screenshottool . Dit weekend deelden Simon Aarons en David Buchanan, de technici die de kwetsbaarheid in kwestie ontdekten, geïdentificeerd als CVE-2023-21036, meer details en onthulden dat Pixel-gebruikers nog steeds het risico lopen dat hun oude afbeeldingen worden gecompromitteerd vanwege de aard van de kwetsbaarheid. dit is een vergissing van Google.

Google repareert een kritieke kwetsbaarheid in zijn tool voor het bewerken van screenshots

Samengevat, door deze “aCropalypse”-kwetsbaarheid kon een aanvaller een bijgesneden schermafbeelding maken van een PNG in opmaak en verschillende wijzigingen in de afbeelding ongedaan maken. Het is gemakkelijk om scenario’s voor te stellen waarin een hacker deze functie zou kunnen misbruiken. Als een Pixel-eigenaar bijvoorbeeld opmaak gebruikt om persoonlijke informatie in een screenshot te verbergen, kan iemand die kwetsbaarheid gebruiken om die informatie vrij te geven. De volledige technische procedure wordt beschreven op de blog van David Buchanan .

Volgens laatstgenoemde bestaat deze fout al zo’n vijf jaar, samenvallend met de release van Markup samen met Android 9 Pie in 2018. En daarin schuilt het probleem. Hoewel de beveiligingspatch van maart voorkomt dat markup-afbeeldingen in de toekomst worden gecompromitteerd, lopen sommige screenshots die Pixel-gebruikers mogelijk in het verleden hebben gedeeld, nog steeds gevaar.

Binnen vijf jaar was het mogelijk om wijzigingen in afbeeldingen ongedaan te maken.

Het is moeilijk voor te stellen hoe deze gebruikers zich zorgen moeten maken over deze tekortkoming. Volgens de man-pagina , die Simon Aarons en David Buchanan deelden met 9to5Google en The Verge, volgens de helppagina die Simon Aarons en David Buchanan deelden met 9to5Google en The Verge, verwerken sommige sites, waaronder Twitter, afbeeldingen op zo’n manier dat niemand de kwetsbaarheid kan misbruiken om te komen en ongedaan te maken of meerdere bewerkingen aan een screenshot of foto. Maar gebruikers van andere platforms hadden minder geluk. Simon Aarons en David Buchanan verwijzen naar Discord als zodanig en specificeren dat de service deze tekortkoming pas op 17 januari heeft verholpen. Het is momenteel niet bekend of afbeeldingen die worden gehost op andere berichten- en sociale media-apps kwetsbaar zijn.

De beveiligingsupdate van maart is momenteel beschikbaar voor de Pixel 4a, 5a, 7 en 7 Pro, wat betekent dat markeringen nog steeds kwetsbare afbeeldingen kunnen genereren op sommige Google Pixels. Het is moeilijk te zeggen of Mountain View een oplossing biedt voor andere Pixel-apparaten. Als je een Pixel hebt die de update niet heeft, gebruik dan geen markeringen om afbeeldingen te delen die gevoelige gegevens bevatten.

Introductie van Acrocalypse: een ernstig privacylek in Markup, de ingebouwde tool voor het bewerken van schermafbeeldingen van Google Pixel, maakt gedeeltelijk herstel van de originele, onbewerkte afbeeldingsgegevens van een bijgesneden en/of bewerkte schermafbeelding mogelijk. Grote dank aan @David3141593 voor de hulp! pic.twitter.com/BXNQomnHbr

– Simon Aarons (@ItsSimonTime) 17 maart 2023