最近被曝出谷歌Pixel手机的截图编辑工具Markup存在一个安全漏洞这个漏洞可能会导致用户编辑过的截图被还原,从而暴露用户的隐私信息这个漏洞最早是被反向工程师Simon Aaarons和David Buchanan揭露的,谷歌已经在3月份的安全更新中修复了这个漏洞。
但是在这个更新之前,用户分享到网上的截图仍然存在风险根据Aaarons在Twitter上发布的一个帖子,这个被称为“aCropalypse”的漏洞可以让用户用Markup编辑过的PNG格式的截图部分还原。
例如,用户使用该工具裁剪或涂抹掉自己的姓名、地址、信用卡号或其他任何隐私信息存在被还原的可能不法分子可以利用这个漏洞来获取用户本以为已经隐藏起来的隐私信息Aaarons和Buchanan解释说,这个漏洞存在的原因是Markup将原始截图保存在与编辑过的截图相同的文件位置,并且从不删除原始版本。
这个漏洞大约首次出现在五年前,大约在同一时间谷歌在Android 9 Pie更新中引入了Markup,这使得情况更加糟糕,因为用Markup编辑过并分享到社交媒体平台上的旧截图可能都存在风险虽然有些网站(包括Twitter)会对上传到平台上的图片进行重新处理,并去除其中存在的漏洞,但其他一些网站(如Discord)则没有。
Discord直到最近1月17日才修复了这个漏洞,意味着在此之前分享到该平台上的截图仍然存在风险,目前还不清楚是否还有其他受影响的网站或应用Aaarons发布的一个例子(上图)显示了一张编辑过的信用卡图片,该图片用Markup工具的黑色笔遮挡了卡号。
当Aaarons下载这张图片并利用aCropalypse漏洞处理时,图片的顶部变得损坏,但他仍然可以看到在Markup中被编辑掉的部分,包括信用卡号谷歌已经在3月份的安全更新中修复了这个漏洞,并将其严重程度分类为“高”。
这个更新目前适用于Pixel 4a、5a、7和7 Pro等型号,意味着Markup仍然可能在一些Pixel设备上产生有漏洞的图片目前还不清楚谷歌何时会将这个补丁推送给其他Pixel设备
来源:火资源软件
