Quando o Google começou a lançar o Android , a empresa abordou uma vulnerabilidade de gravidade “alta” envolvendo a ferramenta de captura de tela Markup do Pixel. No final de semana, e os engenheiros reversos que descobriram o CVE-2023-21036, compartilharam mais informações sobre a falha de segurança, revelando que os usuários do Pixel ainda correm o risco de suas imagens antigas serem comprometidas devido à natureza da supervisão do Google.
Resumindo, a falha “aCropalypse” permitia que alguém fizesse uma captura de tela em PNG recortada em Markup e desfazer pelo menos algumas das edições na imagem. É fácil imaginar cenários em que um malfeitor poderia abusar dessa capacidade. Por exemplo, se um proprietário de Pixel usou Markup para redigir uma imagem que incluía informações confidenciais sobre si mesmo, alguém poderia explorar a falha para revelar essas informações. Você pode encontrar os detalhes técnicos em .
Apresentando o acropalypse: uma séria vulnerabilidade de privacidade na ferramenta de edição de captura de tela integrada do Google Pixel, Markup, que permite a recuperação parcial dos dados de imagem originais e não editados de uma captura de tela cortada e/ou editada. Muito obrigado a @David3141593 por sua ajuda em todo! pic.twitter.com/BXNQomnHbr
— Simon Aarons (@ItsSimonTime) 17 de março de 2023
De acordo com Buchanan, a falha existe há cerca de cinco anos, coincidindo com o lançamento do Markup ao lado do . E aí está o problema. Embora o patch de segurança de março evite que o Markup comprometa imagens futuras, algumas capturas de tela que os usuários do Pixel podem ter compartilhado no passado ainda estão em risco.
É difícil dizer o quão preocupados os usuários do Pixel devem estar com a falha. De acordo com um próximo Aarons e Buchanan compartilharam com e , alguns sites, incluindo o Twitter, processam imagens de forma que alguém não possa explorar a vulnerabilidade para editar uma captura de tela ou imagem. Usuários de outras plataformas não têm tanta sorte. Aarons e Buchanan identificam especificamente o Discord, observando que o aplicativo de bate-papo não corrigiu o exploit até sua recente atualização de 17 de janeiro. No momento, não está claro se as imagens compartilhadas em outras mídias sociais e aplicativos de bate-papo ficaram igualmente vulneráveis.
O Google não respondeu imediatamente ao pedido do Techdoxx para comentários e mais informações. A atualização de segurança de março está atualmente disponível no Pixel 4a, 5a, 7 e 7 Pro, o que significa que a marcação ainda pode produzir imagens vulneráveis em alguns dispositivos Pixel. Não está claro quando o Google enviará o patch para outros dispositivos Pixel. Se você possui um smartphone Pixel sem o patch, evite usar a marcação para compartilhar imagens confidenciais.
Curtiu?
Inscreva seu email no Techdoxx para receber atualizações diárias com as últimas notícias do mundo da tecnologia.
Não esqueça de deixar o seu comentário.