Google Pixel ‘aCropalypse’ 漏洞可逆转屏幕截图的编辑部分

影响 Google Pixel 默认屏幕截图编辑实用程序 Markup 的安全漏洞允许图像部分“未经编辑”，可能会泄露用户选择隐藏的个人信息，正如早些时候发现的那样 9to5谷歌 和 安卓警察. 该漏洞是 被逆向工程师发现 Simon Aaarons 和 David Buchanan，此后已被谷歌修补，但对更新前共享的经过编辑的屏幕截图仍有广泛影响。

详见 Aaarons 在 Twitter 上发布的帖子，恰当地命名为“aCropalypse”的缺陷使某人有可能部分恢复在标记中编辑的 PNG 屏幕截图。 这包括有人可能使用该工具裁剪或涂写他们的姓名、地址、信用卡号码或屏幕截图可能包含的任何其他类型的个人信息的情况。 不法分子可以利用此漏洞来逆转其中的一些更改，并获取用户认为他们一直隐藏的信息。

在即将发布的常见问题解答页面中 9to5谷歌, Aarons 和 Buchanan 解释说，存在这个缺陷是因为 Markup 将原始屏幕截图保存在与编辑后的屏幕截图相同的文件位置，并且从不删除原始版本。 如果屏幕截图的编辑版本小于原始版本，“在新文件应该结束之后，原始文件的结尾部分会被留下。”

根据 到布坎南，这个错误大约在五年前首次出现，大约在同一时间谷歌在 Android 9 Pie 更新中引入了 Markup。 这就是让这一切变得更糟的原因，因为使用 Markup 编辑并在社交媒体平台上共享的多年旧屏幕截图可能容易受到攻击。

常见问题解答页面指出，虽然某些网站（包括 Twitter）会重新处理发布在平台上的图像并消除这些缺陷，但其他网站（例如 Discord）却不会。 Discord 仅在最近的 1 月 17 日更新中修补了漏洞，这意味着在该日期之前共享到平台的编辑图像可能存在风险。 目前尚不清楚是否还有其他受影响的网站或应用程序，如果有，它们是哪些。

Aarons 发布的示例（嵌入在上方）显示了一张张贴到 Discord 的信用卡的裁剪图像，其中还使用标记工具的黑笔遮住了卡号。 一旦 Aarons 下载图像并利用 aCropalypse 漏洞，图像的顶部就会损坏，但他仍然可以看到在标记中被编辑掉的部分，包括信用卡号。 您可以在 Buchanan 的博客文章中阅读有关该缺陷的技术细节的更多信息。

Aarons 和 Buchanan 在 1 月份向谷歌报告了该漏洞 (CVE-2023-21036) 之后，该公司在 3 月份的 Pixel 4A、5A、7 和 7 Pro 安全更新中修复了该问题，并将其严重性分类为“高”。 目前尚不清楚受该漏洞影响的其他设备何时会收到此更新，谷歌也没有立即回应 边缘要求提供更多信息。 如果你想自己看看这个问题是如何工作的，你可以将使用未更新版本的标记工具编辑的屏幕截图上传到这个由 Aarons 和 Buchanan 创建的演示页面。 或者，您可以查看一些 可怕的 例子 发布在网络上。

在 Google 的安全团队发现 Pixel 6、Pixel 7 以及部分 Galaxy S22 和 A53 型号中包含的三星 Exynos 调制解调器可能允许黑客仅使用受害者的电话号码“远程破坏”设备后几天，这一漏洞就曝光了。 谷歌此后在其 3 月的更新中修复了这个问题，尽管这仍然不适用于 Pixel 6、6 Pro 和 6A 设备。