Als Google mit der Einführung von Android begann , hat das Unternehmen eine Schwachstelle mit dem Schweregrad „Hoch“ behoben, die das Markup-Screenshot-Tool von Pixel betrifft. Über das Wochenende, Und die Reverse Engineers, die CVE-2023-21036 entdeckten, teilten weitere Informationen über die Sicherheitslücke mit und enthüllten, dass Pixel-Benutzer immer noch dem Risiko ausgesetzt sind, dass ihre älteren Bilder aufgrund der Art der Aufsicht von Google kompromittiert werden.
Kurz gesagt, der „aCropalypse“-Fehler ermöglichte es jemandem, einen in Markup zugeschnittenen PNG-Screenshot zu erstellen und zumindest einige der Änderungen im Bild rückgängig zu machen. Es ist leicht, sich Szenarien vorzustellen, in denen ein schlechter Schauspieler diese Fähigkeit missbrauchen könnte. Wenn beispielsweise ein Pixel-Besitzer Markup verwendet, um ein Bild zu schwärzen, das vertrauliche Informationen über sich selbst enthält, könnte jemand den Fehler ausnutzen, um diese Informationen preiszugeben. Die technischen Details finden Sie auf .
Einführung von Acropalypse: eine schwerwiegende Sicherheitslücke im integrierten Screenshot-Bearbeitungstool von Google Pixel, Markup, die eine teilweise Wiederherstellung der ursprünglichen, unbearbeiteten Bilddaten eines zugeschnittenen und/oder geschwärzten Screenshots ermöglicht. Vielen Dank an @David3141593 für seine durchgehende Hilfe! pic.twitter.com/BXNQomnHbr
– Simon Aarons (@ItsSimonTime) 17. März 2023
Laut Buchanan besteht der Fehler seit etwa fünf Jahren, zeitgleich mit der Veröffentlichung von Markup neben . Und darin liegt das Problem. Während der Sicherheitspatch vom März verhindern wird, dass Markup zukünftige Bilder kompromittiert, sind einige Screenshots, die Pixel-Benutzer möglicherweise in der Vergangenheit geteilt haben, immer noch gefährdet.
Es ist schwer zu sagen, wie besorgt Pixel-Benutzer über den Fehler sein sollten. Laut einer bevorstehenden Aarons und Buchanan teilten mit Und , einige Websites, einschließlich Twitter, verarbeiten Bilder so, dass jemand die Schwachstelle nicht ausnutzen kann, um einen Screenshot oder ein Bild rückgängig zu bearbeiten. Benutzer auf anderen Plattformen haben nicht so viel Glück. Aarons und Buchanan identifizieren Discord ausdrücklich und stellen fest, dass die Chat-App den Exploit erst mit dem letzten Update vom 17. Januar gepatcht hat. Im Moment ist unklar, ob Bilder, die in anderen sozialen Medien und Chat-Apps geteilt wurden, ähnlich anfällig waren.
Google reagierte nicht sofort auf die Anfrage von Engadget nach Kommentaren und weiteren Informationen. Das März-Sicherheitsupdate ist derzeit für Pixel 4a, 5a, 7 und 7 Pro verfügbar, was bedeutet, dass Markup auf einigen Pixel-Geräten immer noch anfällige Bilder erzeugen kann. Es ist unklar, wann Google den Patch auf andere Pixel-Geräte übertragen wird. Wenn Sie ein Pixel-Smartphone ohne den Patch besitzen, vermeiden Sie die Verwendung von Markup, um vertrauliche Bilder zu teilen.