Un difetto di sicurezza che ha permesso alle immagini modificate sui telefoni Pixel di diventare parzialmente non modificate è stato rivelato dai reverse engineer che lo hanno scoperto, Simon Aarons e David Buchanan.
Tuttavia da allora il difetto è stato corretto, gli screenshot modificati che sono stati condivisi prima dell’aggiornamento sono ancora vulnerabili.
Nominato”aCropalypse“, il difetto consente a qualcuno di annullare e recuperare parzialmente la modifica degli screenshot PNG utilizzando lo strumento di markup integrato di Pixel.
Ad esempio, se qualcuno avesse utilizzato lo strumento per scarabocchiare sopra o ritagliare informazioni sensibili come indirizzi, numero di carta di credito o saldi bancari, un malintenzionato potrebbe sfruttare questo difetto per annullare queste modifiche e vedere le informazioni che il mittente pensava di aver già offuscato.
Aarons e Buchanan spiegano:
Quando un’immagine viene ritagliata utilizzando Markup, salva la versione modificata nella stessa posizione del file dell’originale. Tuttavia, non cancella il file originale prima di scrivere quello nuovo. Se il nuovo file è più piccolo, la parte finale del file originale viene lasciata indietro, dopo che il nuovo file dovrebbe essere terminato.
Puoi vedere come funziona questo difetto andando su questa pagina demo e caricando uno screenshot che è stato modificato con la versione non aggiornata dello strumento di markup.
Secondo Buchanan , questo difetto è iniziato circa cinque anni fa, quando Google ha introdotto Markup con Android 9 Pie.
E sebbene il difetto sia stato corretto, ci sono anni di immagini vulnerabili che ancora fluttuano nel frattempo.
Il difetto è stato corretto da Google in un aggiornamento di sicurezza di marzo per Pixel 4A, 5A, 7 e 7 Pro con la sua gravità classificata come”elevata”. Tuttavia, Google non ha detto se questo aggiornamento arriverà per altri dispositivi.
Gli utenti Pixel sono comprensibilmente preoccupati e si dice che sia in lavorazione una pagina delle FAQ. Aggiorneremo questo articolo con il link una volta pubblicato.
Fonte: Simon Aarons, David Buchanan tramite 9to5 Google, The Verge