Başlangıçta Mart ayında Google, amiral gemisi Pixel akıllı telefonları için cihazların varsayılan fotoğraf düzenleme aracı Markup’taki bir güvenlik açığını gidermek için bir güncelleme yayınladı. Android 9’daki 2018 tanıtımından bu yana, Markup’ın fotoğraf kırpma aracı, orijinal görüntünün bir kısmını veya tamamını kırpma sınırlarının ötesinde yeniden oluşturmak için kullanılabilecek kırpılmış bir görüntü dosyasında sessizce veri bırakıyordu. Şu anda düzeltilmiş olsa da, güvenlik açığı önemli çünkü Pixel kullanıcıları yıllardır, kullanıcının ortadan kaldırmaya çalıştığı özel veya hassas verileri içerebilecek kırpılmış görüntüler oluşturuyor ve çoğu durumda muhtemelen paylaşıyor. Ama daha da kötüye gidiyor.
“aCropalypse” olarak adlandırılan hata, güvenlik araştırmacısı ve üniversite öğrencisi Simon Aarons tarafından keşfedildi ve ilk olarak Google’a gönderildi. Çift, bu hafta güvenlik açığının çok benzer bir sürümünün, tamamen ayrı ama eşit derecede her yerde bulunan bir kod tabanından gelen diğer fotoğraf kırpma yardımcı programlarında da mevcut olduğunu keşfettiğinde şaşkına döndü: Windows. Windows 11 Ekran Alıntısı Aracı ve Windows 10 Ekran Alıntısı ve Taslak aracı, bir kullanıcının ekran görüntüsü alıp kaydetmesi, ekran görüntüsünü kırpması ve ardından dosyayı yeniden kaydetmesi durumunda savunmasızdır. Bu arada, İşaretleme ile kırpılan fotoğraflar, kullanıcı fotoğrafı kaydetmeden önce kırpmayı uyguladığında bile çok fazla veri tuttu.
Microsoft Çarşamba günü WIRED’e “bu raporların farkında olduğunu” ve “araştırdığını” söyledi ve “gerektiğinde harekete geçeceğiz” dedi.
Buchanan, “Gerçekten oldukça akıllara durgunluk veriyordu, sanki iki kez şimşek çakmış gibiydi” diyor. “Orijinal Android güvenlik açığı, daha önce keşfedilmeyecek kadar şaşırtıcıydı. Oldukça gerçeküstüydü.”
Artık güvenlik açıkları ortaya çıktığına göre, araştırmacılar, geliştiricilerin kırpma araçlarının tuhaf davranışlarını fark ettikleri programlama forumlarındaki eski tartışmaları ortaya çıkarmaya başladılar. Ancak Aarons, olası güvenlik ve gizlilik etkilerini ilk fark eden veya en azından bulguları Google ve Microsoft’a ilk getiren kişi gibi görünüyor.
Aarons, “Aslında sabah 4 civarında, siyah bir arka plan üzerinde beyaz metinden gönderdiğim küçük bir ekran görüntüsünün 5 MB’lık bir dosya olduğunu fark ettiğimde tam bir kaza sonucu fark ettim ve bu bana doğru gelmedi,” diyor.
aCropalypse’den etkilenen görüntüler genellikle tamamen kurtarılamaz, ancak önemli ölçüde yeniden oluşturulabilir. Harunlar sağlanan örnekler, bir fotoğraftan kırpmaya çalıştıktan sonra kredi kartı numarasını geri alabildiği biri de dahil. Kısacası, olması gerekenden daha fazla bilgi, özellikle de birisinin kasıtlı olarak kaldırmaya çalıştığı bilgiler içeren bir sürü fotoğraf var.
Microsoft henüz herhangi bir düzeltme yayınlamadı, ancak Google tarafından yayınlananlar bile, aracın hala savunmasız olduğu yıllarda kırpılan mevcut resim dosyalarının durumunu hafifletmiyor. Ancak Google, bazı sosyal medya ve iletişim hizmetlerinde paylaşılan görüntü dosyalarının hatalı verileri otomatik olarak ayıklayabileceğine dikkat çekiyor.