Сегодня 21 декабря 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Баг aCropalypse в штатном редакторе изображений Markup для Google Pixel позволяет восстановить картинку даже после её редактирования

В штатном приложении Markup на смартфонах Google Pixel для быстрого редактирования изображений (преимущественно для надписей на скриншотах) обнаружена крайне неприятная уязвимость. Выяснилось, что приложение при редактировании изображений в формате PNG не перезаписывало старый файл целиком, поэтому из оставшихся кусочков данных можно частично восстановить исходное изображение. Многое из того, что пользователи надеялись скрыть на скриншотах обрезкой или ретушью теперь поддаётся восстановлению.

 Источник изображения: Simon Aarons @ItsSimonTime / Twitter

Ретушь не помогла скрыть важную информацию. Источник изображения: Simon Aarons @ItsSimonTime / Twitter

Уязвимость получила имя aCropalypse. Под этим именем первым о ней рассказал Саймон Ааронс (Simon Aarons) в своей ленте @ItsSimonTime в Твиттере. Он же, похоже, первым обратил на неё внимание, как следует из опубликованной переписки в блоге другого специалиста по уязвимостям — Дэвида Бьюкенена (David Buchanan). Компания Google также упоминала об этой уязвимости в бюллетене за 13 марта этого года, где ей присвоен код CVE-2023-21036. Подробностей Google не раскрыла, но отметила высокую степень её опасности.

Фактически всё имеющиеся в свободном доступе скриншоты, сделанные на смартфонах Google многих поколений за несколько последних лет, могут нести скрытые конфиденциальные данные, которые теперь могут быть раскрыты. Чаще всего это банковская информация, почтовые адреса или что-то подобное, поскольку скриншоты часто служат быстрым подтверждением для получения или отправки товара или выполнения услуг. Быстрое редактирование снимков, как надеялись пользователи, не удаляло чувствительную информацию и записывало её в отредактированный файл.

Для проверки на уязвимость уже сделанных скриншотов создан сайт acropalypse.app/, куда можно загрузить соответствующий файл PNG, выбрав модель Google Pixel.

Как считают специалисты, проблема появилась после обновления API ещё в Android 10. До десятой версии функция parseMode("w") по умолчанию усекала файл и перезаписывала данные, а затем прекратила это делать. Начиная с Android 10 усекать файл должна была функция "wt", что Google так и не удосужилась документировать и, мало того, функция "wt" выдавала ошибку при перезаписи файла, если новый файл был меньше старого. В общем, по-новому не работало, а по-старому не перезаписывало. Теперь, спасайте свои данные, кто как может.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Вечерний 3DNews
Каждый будний вечер мы рассылаем сводку новостей без белиберды и рекламы. Две минуты на чтение — и вы в курсе главных событий.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Arm будет добиваться повторного разбирательства нарушений лицензий компанией Qualcomm 2 ч.
Японцы предложили отводить тепло от чипов на материнских платах большими медными заклёпками 3 ч.
Поставки гарнитур VR/MR достигнут почти 10 млн в 2024 году, но Apple Vision Pro занимает лишь 5 % рынка 4 ч.
Первая частная космическая станция появится на два года раньше, но летать на неё будет нельзя 5 ч.
В США выпущены федеральные нормы для автомобилей без руля и педалей 6 ч.
Для невыпущенного суперчипа Tachyum Prodigy выпустили 1600-страничное руководство по оптимизации производительности 7 ч.
Зонд NASA «Паркер» пошёл на рекордное сближение с Солнцем 8 ч.
Qualcomm выиграла в судебном разбирательстве с Arm — нарушений лицензий не было 12 ч.
Американских субсидий на сумму $6,75 млрд удостоятся Samsung, Texas Instruments и Amkor 14 ч.
Власти США готовятся ввести санкции против китайской компании Sophgo, подозреваемой в снабжении чипами Huawei 15 ч.