Los ingenieros inversos que la descubrieron, Simon Aarons y David Buchanan, revelaron una falla de seguridad que permitió que las imágenes editadas en los teléfonos Pixel quedaran parcialmente sin editar.
Aunque Desde entonces, la falla se corrigió, las capturas de pantalla editadas que se compartieron antes de la actualización siguen siendo vulnerables.
Nombrada”aCropalypse“, la falla hace posible que alguien deshaga y recupere parcialmente la edición de capturas de pantalla PNG usando la herramienta de marcado integrada de Pixel.
Por ejemplo, si alguien hubiera usado la herramienta para garabatear sobre o recorta información confidencial como direcciones, números de tarjetas de crédito o saldos bancarios, un mal actor podría explotar esta falla para revertir estos cambios y ver la información que el remitente pensó que ya había ofuscado.
Aarons y Buchanan explican:
Cuando se recorta una imagen usando Markup, se guarda la versión editada en la misma ubicación de archivo que el original. Sin embargo, no borra el archivo original antes de escribir el nuevo. Si el nuevo archivo es más pequeño, la parte final del archivo original se deja atrás, después de que se suponía que el nuevo archivo había terminado.
Puede ver cómo funciona esta falla yendo a esta página de demostración y cargar una captura de pantalla que se haya editado con la versión no actualizada de la herramienta Markup.
Según Buchanan , esta falla comenzó hace unos cinco años cuando Google presentó Markup con Android 9 Pie.
Y aunque la falla se corrigió, todavía hay años de imágenes vulnerables flotando.
Google corrigió la falla en una actualización de seguridad de marzo para Pixel 4A, 5A, 7 y 7 Pro con su gravedad clasificada como”alta”. Sin embargo, Google no ha dicho si esta actualización llegará a otros dispositivos.
Los usuarios de Pixel están comprensiblemente preocupados y se dice que se está trabajando en una página de preguntas frecuentes. Actualizaremos este artículo con el enlace una vez que se publique.
Fuente: Simon Aarons, David Buchanan vía 9to5 Google, The Verge