3 月 20 日消息,谷歌 Pixel 手机自带的截图编辑工具 Markup 被曝存在一个安全漏洞,可能导致用户编辑过的截图被部分还原,从而暴露用户想要隐藏的隐私信息。这一漏洞最早由反向工程师 Simon Aaarons 和 David Buchanan 揭露,谷歌已经在 3 月份的安全更新中修复了这一漏洞,但是在此次更新之前用户分享到网上的截图仍然有风险。
根据 Aaarons 在 Twitter 上发布的一个帖子,这个被称为“aCropalypse”的漏洞可以让用 Markup 编辑过的 PNG 格式的截图部分还原,例如用户使用该工具裁剪或涂抹掉自己的姓名、地址、信用卡号或其他任何隐私信息存在被还原的可能,不法分子可以利用这个漏洞来获取用户本以为已经隐藏起来的隐私信息。
Aaarons 和 Buchanan 解释说,这个漏洞存在是因为 Markup 将原始截图保存在与编辑过的截图相同的文件位置,并且从不删除原始版本。
据 Buchanan 称,这个漏洞大约首次出现在五年前,大约在同一时间谷歌在 Android 9 Pie 更新中引入了 Markup。这使得情况更加糟糕,因为用 Markup 编辑过并分享到社交媒体平台上的旧截图可能都存在风险。
据IT之家了解,虽然有些网站(包括 Twitter)会对上传到平台上的图片进行重新处理,并去除其中存在的漏洞,但其他一些网站(如 Discord)则没有。Discord 直到最近 1 月 17 日才修复了这个漏洞,意味着在此之前分享到该平台上的截图仍然有风险,目前还不清楚是否还有其他受影响的网站或应用。
Aaarons 发布的一个例子(上图)显示了一个编辑过的信用卡图片,该图片用 Markup 工具的黑色笔遮挡了卡号。当 Aaarons 下载这张图片并利用 aCropalypse 漏洞处理时,图片的顶部变得损坏,但他仍然可以看到在 Markup 中被编辑掉的部分,包括信用卡号。
谷歌已经在 3 月份的安全更新中修复了这个漏洞,并将其严重程度分类为“高”。这个更新目前适用于 Pixel 4a、5a、7 和 7 Pro 等型号,意味着 Markup 仍然可能在一些 Pixel 设备上产生有漏洞的图片。目前还不清楚谷歌何时会将这个补丁推送给其他 Pixel 设备。
