Категория: Смартфоны

Google Pixel: недостаток в системе безопасности Markup

Инженеры Саймон Ааронс и Дэвид Бьюкенен обнаружили дефект безопасности, влияющий на стандартную утилиту редактирования скриншотов Google Pixel — Markup. Это позволяет изображениям становиться частично «неотредактированными«, что может привести к раскрытию личной информации, которую пользователи хотели скрыть.

Уязвимость уже устранена компанией Google с помощью обновления. К сожалению, это изменение никак не влияет на отредактированные скриншоты, которыми делились в сети до этого обновления.

Дефект, который существует уже пять лет

Дефект получил название «aCropalypse«. Согласно объяснению Ааронса, недостаток позволяет пользователю частично восстановить скриншоты PNG, отредактированные в Markup. Пользователь мог использовать этот инструмент, чтобы обрезать или нацарапать свое имя, адрес, номер кредитной карты или любую другую личную информацию, которую может содержать скриншот. Злонамеренный человек может воспользоваться этой ошибкой, чтобы отменить некоторые из этих изменений и получить информацию, которую пользователь считал скрытой.

Бьюкенен говорит, что этот недостаток существует уже около пяти лет, и что они сообщили о нем Google в январе. О нем стало известно примерно в то время, когда Google представила функцию Markup в обновлении Android 9 Pie. Это означает, что старые скриншоты, отредактированные с помощью Markup и размещенные в социальных сетях, могут быть уязвимы для эксплойта.

Исправление с помощью обновления

Ааронс и Бьюкенен объясняют, что Markup сохраняет оригинальный скриншот в том же месте файла, что и отредактированная версия, и никогда не удаляет оригинальную версию. Если отредактированное изображение скриншота меньше оригинала, «оставшаяся часть оригинального файла остается позади, в то время как новый файл должен быть завершен«.

Google исправил ошибку в мартовском обновлении безопасности для Pixel 4A, 5A, 7 и 7 Pro с серьезностью, классифицированной как «высокая«. Пока неизвестно, когда это изменение будет доступно для других затронутых устройств. Некоторые сайты и социальные сети, включая Twitter, избавляются от опубликованных изображений дефекта. Discord обновил информацию только 17 января. Другие затронутые веб-страницы или приложения пока не известны.

Андрей Зайцев

Андрей Зайцев - писатель и заядлый любитель игр, телевидения и фильмов. Он поглощает все типы медиа и готов выслушать всех. Полюбил игры после Gran Turismo и Metal Gear Solid. До сих пор считает Хидео Кодзиму гением.

Поделиться
Автор
Андрей Зайцев

Последние посты

Новый трейлер игры в жанре looter shooter: что показали и когда ждать

Наконец-то вышел первый полноценный трейлер новой игры в жанре looter shooter, и он не только…

% дней назад

RGG Studio анонсировала два новых проекта: Project Centura и Virtua Fighter

RGG Studio не перестает удивлять своими анонсами. После презентации новой части Virtua Fighter студия представила…

% дней назад

Turok Origins: Новая эра кооперативного экшена с динозаврами

Saber Interactive, известные своими успехами в разработке экшен-игр, таких как World War Z и Space…

% дней назад

Mecha Break 2: Новые режимы и модульная система раскрываются в коротком ролике

Недавно на Gamescom был показан небольшой фрагмент геймплея из роботизированного экшена, а теперь разработчики раскрыли…

% дней назад

Dragon Ball: Sparking! Zero получил масштабное обновление: новые уровни и исправленный баланс

Игра Dragon Ball: Sparking! Zero получила новое обновление, которое добавляет доступ к 12 новым уровням…

% дней назад

Sony планирует приобрести Kadokawa Corporation: Что это означает для индустрии?

После многочисленных слухов Sony наконец подтвердила свои намерения по приобретению Kadokawa Corporation. Компания также попросила…

% дней назад