Google Pixel’in İşaretleme aracındaki bir “Acropalypse” kusuru, son beş yıldır kırpılmış veya içerikleri maskelenmiş olanlar da dahil olmak üzere düzenlenmiş veya düzeltilmiş ekran görüntülerini ve resimleri kısmen kurtarmayı mümkün kıldı.
İşaretleme aracı, bir Google Pixel cihazında resimleri düzeltmenize, kırpmanıza ve değiştirmenize olanak tanıyan yerleşik bir resim düzenleyicidir.
Güvenlik açığı, güvenlik araştırmacıları Simon Aarons ve David Buchanan tarafından keşfedildi. Twitter’da bildirildi “Acropalypse” adını verdikleri bir saldırıyı kullanarak son beş yıldır düzenlenmiş görüntülerden hassas bilgileri kurtarmanın mümkün olduğunu.
Aarons, İşaretleme aracının siyah işaretleyici özelliği kullanılarak numarası düzeltilmiş bir kredi kartının Discord’a yüklenen bir fotoğrafını geri yüklemek için Acropalypse kusurunu nasıl kullandıklarına dair bir örnek paylaştı.
Fotoğrafı Acropalypse açıklarından çalıştırdıktan sonra, aşağıda gösterildiği gibi orijinal görüntüyü kurtardılar.
Araştırmacılar ayrıca, Piksel sahiplerinin kendi düzeltilmiş görüntülerini test etmelerine ve kurtarılabilir olup olmadıklarını görmelerine olanak tanıyan çevrimiçi bir Acropalypse ekran görüntüsü kurtarma aracı yayınladı.
Araştırmacılar, kusuru Ocak 2023’te Google’a bildirdi ve şirket, 13 Mart 2023’te yayınlanan ve CVE-2023-21036 olarak izleyen bir güncelleme aracılığıyla hatayı düzeltti.
Sorunun, görüntü dosyasının düzenleme için nasıl açıldığından kaynaklandığına inanılıyor, bu da kesilmiş verilerin kaydedilen bir görüntüde kalmasına neden oluyor ve orijinal sürümün kabaca %80’inin kurtarılabilir olmasına izin veriyor.
Güvenlik açığı, görüntü oluşturucunun medyayı başkalarıyla paylaşmadan veya çevrimiçi yayınlamadan önce Pixel’in İşaretleme aracını kullanarak düzelttiği hassas bilgileri açığa çıkarabilir.
Bu, kullanıcı tarafından yüklenen medyayı sıkıştırmayan platformlardaki gönderiler için geçerlidir, bu nedenle hassas veriler varsa, bozulmadan kalır.
Sorunla ilgili daha fazla ayrıntı içeren bir SSS yakında özel bir web sitesinde yayınlanacak, ancak bu yazı yazıldığı sırada mevcut değil.
Buchanan, blogunda sorunla ilgili bazı ek teknik ayrıntıları açıkladı.
Yapabileceğin pek bir şey yok
Google’ın sorunu Pixel telefonlar için yaptığı son güncellemede düzeltmesine rağmen, son beş yılda paylaşılan tüm görüntüler Acropalypse saldırısına karşı savunmasızdır ve bunu düzeltmek için hiçbir şey yapılamaz.
Bu nedenle, kusur, İşaretleme aracı kullanılarak düzeltilmiş hassas bilgiler içeren ekran görüntüleri yükleyen kullanıcılar için ciddi gizlilik etkilerine sahip olabilir. Ayrıca, daha önce redaksiyona tabi tutulan ancak artık muhtemelen kurtarılabilen görüntünün belirli bölümleriyle, kendilerinin açıklayıcı resimlerini paylaşan kullanıcılar için de etkisi olabilir.
Ne yazık ki sorun, İşaretleme aracının kullanıma sunulduğu tarih olan ve Şubat 2023 güvenlik güncellemesine kadar Android 9 Pie ve sonraki sürümleri çalıştıran tüm Pixel modellerini etkiliyor.
Google’ın Pixel 4a, 5a, 7 ve 7 Pro için Mart 2023 güvenlik güncellemesini, üç aylık “Pixel özellik düşüşü” ile aynı zamana denk gelmesi ve ayrıca 18 sıfır gün açığının keşfedilmesi nedeniyle bir haftalık gecikmeyle yayınladığını belirtelim. Pixel 6 ve 7 serisinde kullanılan Exynos modemlerde.
Bununla birlikte, Mart 2023 güvenlik güncellemesinin bu modeller için kullanıma sunulması gerektiğinden, bunu Pixel 6a, 6 ve 6 Pro için yazarken hem Exynos kusurlarının hem de İşaretleme güvenlik açığının hala düzeltilmesi gerekiyor.
Son olarak Acropalypse, ekran görüntüsü/görüntü düzenleme için İşaretleme aracını kullanan üçüncü taraf Android dağıtımlarını kullanan Pixel olmayan akıllı telefonları etkileyebilir.
Tersine çevrilebilir kırpmayla ilgili benzer bir sorun yakın zamanda Google Dokümanlar’da keşfedildi ve salt görüntüleme erişimine sahip kişilerin paylaşılan belgelerdeki kırpılmış resimlerin orijinal sürümlerini kurtarmasına olanak sağladı.