谷歌 Pixel 手機(jī)截圖編輯工具被曝出安全漏洞，打碼的信息能被還原

IT之家 3 月 20 日消息，谷歌 Pixel 手機(jī)自帶的截圖編輯工具 Markup 被曝存在一個(gè)安全漏洞，可能導(dǎo)致用戶編輯過(guò)的截圖被部分還原，從而暴露用戶想要隱藏的隱私信息。這一漏洞最早由反向工程師 Simon Aaarons 和 David Buchanan 揭露，谷歌已經(jīng)在 3 月份的安全更新中修復(fù)了這一漏洞，但是在此次更新之前用戶分享到網(wǎng)上的截圖仍然有風(fēng)險(xiǎn)。

根據(jù) Aaarons 在 Twitter 上發(fā)布的一個(gè)帖子，這個(gè)被稱為“aCropalypse”的漏洞可以讓用 Markup 編輯過(guò)的 PNG 格式的截圖部分還原，例如用戶使用該工具裁剪或涂抹掉自己的姓名、地址、信用卡號(hào)或其他任何隱私信息存在被還原的可能，不法分子可以利用這個(gè)漏洞來(lái)獲取用戶本以為已經(jīng)隱藏起來(lái)的隱私信息。

Aaarons 和 Buchanan 解釋說(shuō)，這個(gè)漏洞存在是因?yàn)?Markup 將原始截圖保存在與編輯過(guò)的截圖相同的文件位置，并且從不刪除原始版本。

據(jù) Buchanan 稱，這個(gè)漏洞大約首次出現(xiàn)在五年前，大約在同一時(shí)間谷歌在 Android 9 Pie 更新中引入了 Markup。這使得情況更加糟糕，因?yàn)橛?Markup 編輯過(guò)并分享到社交媒體平臺(tái)上的舊截圖可能都存在風(fēng)險(xiǎn)。

據(jù)IT之家了解，雖然有些網(wǎng)站（包括 Twitter）會(huì)對(duì)上傳到平臺(tái)上的圖片進(jìn)行重新處理，并去除其中存在的漏洞，但其他一些網(wǎng)站（如 Discord）則沒(méi)有。Discord 直到最近 1 月 17 日才修復(fù)了這個(gè)漏洞，意味著在此之前分享到該平臺(tái)上的截圖仍然有風(fēng)險(xiǎn)，目前還不清楚是否還有其他受影響的網(wǎng)站或應(yīng)用。

Aaarons 發(fā)布的一個(gè)例子（上圖）顯示了一個(gè)編輯過(guò)的信用卡圖片，該圖片用 Markup 工具的黑色筆遮擋了卡號(hào)。當(dāng) Aaarons 下載這張圖片并利用 aCropalypse 漏洞處理時(shí)，圖片的頂部變得損壞，但他仍然可以看到在 Markup 中被編輯掉的部分，包括信用卡號(hào)。

谷歌已經(jīng)在 3 月份的安全更新中修復(fù)了這個(gè)漏洞，并將其嚴(yán)重程度分類為“高”。這個(gè)更新目前適用于 Pixel 4a、5a、7 和 7 Pro 等型號(hào)，意味著 Markup 仍然可能在一些 Pixel 設(shè)備上產(chǎn)生有漏洞的圖片。目前還不清楚谷歌何時(shí)會(huì)將這個(gè)補(bǔ)丁推送給其他 Pixel 設(shè)備。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。