"Акропалипсис" - новый кошмар для пользователей Google Pixel

Обнаружена уязвимость в функции скриншотов смартфонов Pixel. Уязвимость представляет значительный риск для пользователей телефонов Google.

Исследователи безопасности обнаружили, что обрезанные скриншоты на устройствах Google Pixel могут быть использованы для доступа к данным пользователя, таким как информация для входа в систему, сообщения, фотографии и другая банковская информация.

Исправление, которое не полностью решает проблему

Обнаруженная реверс-инженерами Саймоном Ааронсом и Дэвидом Бьюкененом, а затем исправленная компанией Google, уязвимость, к сожалению, не решает проблему для измененных скриншотов, которыми уже делились в сети до обновления. Уязвимость, получившая название "aCropalypse", позволяет частично восстановить скриншоты PNG, которые были отредактированы с помощью инструмента "Markup", установленного по умолчанию на смартфонах Google Pixel.

Вам может понадобиться обрезать скриншот или наложить информацию, прежде чем поделиться им. Это часто происходит, когда вы не хотите, чтобы на изображении отображались ваше имя, адрес электронной почты, номер телефона или банковская информация. Хакеры, использующие эксплойт "Acropalypse", могут отменить некоторые изменения, внесенные вами в скриншоты, чтобы получить конфиденциальную информацию, которую вы считали скрытой.

Как отмечают Ааронс и Бьюкенен, рассматриваемый недостаток существует потому, что приложение сохраняет скриншоты в том же месте, что и измененные изображения, никогда не удаляя исходную версию. Проблема могла появиться примерно в то же время, когда в Android 9 Pie появился инструмент "Markup". Этот недостаток вызывает тем большее беспокойство, что изображения, которыми годами делились в сетях, все равно будут уязвимы для этого эксплойта.

Некоторые платформы избегают этого недостатка, другие - нет

Некоторые сайты, такие как Twitter*, обрабатывают изображения перед их публикацией в социальной сети, тем самым устраняя уязвимость к этому дефекту. Со своей стороны, Discord исправил этот эксплойт в обновлении от 17 января. К сожалению, изображения, опубликованные на платформе до этой даты, все еще находятся в зоне риска.

Как видно на изображении выше, на нем показано обрезанное изображение кредитной карты, которое было обрезано и опубликовано в Discord. Пользователь тщательно скрыл номер карты на скриншоте, но Ааронсу все равно удалось обнародовать ее, воспользовавшись уязвимостью Acropalypse.

В январе 2023 года Google был предупрежден. Компания исправила проблему в мартовском обновлении безопасности для Pixel 4a, 5a, Pixel 7 и 7 Pro. Пока неизвестно, когда патч будет распространен на другие устройства Pixel.

* Соц сеть запрещена на территории РФ