發現該漏洞的逆向工程師 Simon Aarons 和 David Buchanan 揭示了一個安全漏洞,該漏洞允許 Pixel 手機上已編輯的圖像部分未被編輯。
雖然該漏洞已被修復,更新前共享的編輯截圖仍然存在漏洞。
名為“aCropalypse”的缺陷使得有人可以撤消和部分恢復使用 Pixel 內置標記工具編輯的 PNG 屏幕截圖。
例如,如果有人使用該工具塗鴉覆蓋或裁剪地址、信用卡號或銀行餘額等敏感信息,不法分子可以利用此漏洞恢復這些更改,並查看發件人認為他或她已經混淆的信息.
Aarons 和 Buchanan 解釋說:
當使用標記裁剪圖像時,它會將編輯後的版本保存在與原始文件相同的文件位置。但是,它不會在寫入新文件之前擦除原始文件。如果新文件較小,則在新文件應該結束後,原始文件的尾部部分會被留下。
您可以通過轉至 此演示頁面並上傳使用未更新版本的標記工具編輯的屏幕截圖。
根據布坎南,這個缺陷大約在五年前開始出現,當時谷歌在 Android 9 Pie 中引入了 Markup。
雖然這個缺陷已經被修復,但多年來仍有易受攻擊的圖像仍然存在。
谷歌已在 3 月份針對 Pixel 4A、5A、7 和 7 Pro 的安全更新中修復了該漏洞,其嚴重程度被歸類為“高”。但是,谷歌沒有說明此更新是否會適用於其他設備。
Pixel 用戶的擔憂是可以理解的,據說正在製作一個常見問題解答頁面。一旦文章上線,我們將使用鏈接更新這篇文章。
來源:David Buchanan 來自 9to5 Google, The Verge