Pixel telefonlardaki İşaretleme aracında ciddi bir güvenlik açığı bulundu

Pixel telefonlardaki İşaretleme aracında bulunan ciddi bir güvenlik açığı, bilgisayar korsanlarının düzenlenmiş ekran görüntülerini yeniden düzenlemesini ve kırpılmış görüntülerini kaldırmasını sağlayabilir. Güvenlik araştırmacısı tarafından tanımlandı Simon Aaronskusur “Acropalypse” olarak adlandırılır ve bir CVE Kimliği (Ortak Güvenlik Açıkları ve Riskler) atanmıştır.

Biriyle banka ekstrenizin ekran görüntüsünü paylaştığınızı ve banka hesap numaranız veya bakiyeniz gibi hassas bilgileri gizlemek için Pixel’in İşaretleme aracını kullandığınızı varsayalım. Bu güvenlik açığı, orijinal bir ekran görüntüsü dosyası göndermeniz koşuluyla herkesin bu gizli bilgileri yeniden düzenlemesine izin verir.

Çoğu mesajlaşma ve sosyal medya uygulaması, paylaşılan görüntüleri sıkıştırır ve yeniden işler; bu durumda hack mümkün değildir. Örneğin, Twitter Acropalypse içermez. Ancak Discord, bu ayrıntıların ekran görüntülerini yalnızca Ocak ayında çıkarmaya başladı. Bundan önce platformda paylaşılan tüm işaretlenmiş Pixel ekran görüntüleri, saldırıya açıktır.

Google, 2018’de Android 9’a sahip Pixel telefonlarda İşaretleme aracını piyasaya sürdü. Ekran görüntülerini kırpmanıza, metin eklemenize, çizmenize ve vurgulamanıza olanak tanır. Ancak güvenlik açığı, kötü niyetli kişilerin bu düzenlemeyi kaldırmasına ve ekran görüntüsüne orijinal haliyle erişmesine yardımcı olabilir.

Google, Mart 2023 güvenlik güncellemesiyle sorunu çözerken, Piksellerinizi en son yazılımla güncellemeden önce paylaştığınız ekran görüntüleri hâlâ kullanılabilir ve gizli bilgileriniz kısmen kurtarılabilir. Aarons tasarladı teknik bir demo Düzenlenmiş ekran görüntülerinizin düzeltilip düzeltilemeyeceğini öğrenebileceğiniz kusurun.