谷歌Pixel手机漏洞可导致打码信息被复原

admin 2023年3月22日02:11:59评论59 views字数 1562阅读5分12秒阅读模式

谷歌Pixel手机漏洞可导致打码信息被复原 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

谷歌Pixel手机漏洞可导致打码信息被复原

研究人员在谷歌Pixel 编辑器工具Markup 中发现了一个漏洞,可部分恢复已编辑或修改的截屏和图片,包括过去五年来所编辑或打码的内容。

谷歌Pixel手机漏洞可导致打码信息被复原

Markup 是一款内置的图像编辑器,可使用户在谷歌Pixel 设备上编辑、裁剪以及更改图片。该漏洞是由安全研究员 Simon Aarons 和 David Buchanan 发现的,他们在推特上表示可以通过“Acropalypse” 攻击恢复过去五年来所编辑图片中的敏感信息。

Aarons 举例说明了他们如何使用Acropalypse漏洞恢复上传到Discord平台上的信用卡信息,而该信用卡卡号已经通过Markup工具的黑色标记特性进行了编辑涂改。研究人员还发布了Acropalypse 截屏恢复在线工具,使得Pixel机主能够测试已编辑图片,查看这些图片是否是可恢复的。

研究人员在2023年1月将该漏洞告知谷歌,后者已经在2023年3月13日发布更新,该漏洞的编号为CVE-2023-21036。该漏洞源自图片文件打开进行编辑的方式,可导致被截断的数据遗留在已保存图片中,并导致约80%的原始版本可恢复。该漏洞可泄露图像创建者使用Markup工具编辑的敏感信息。这些图片会上传到不会压缩用户所上传媒介的平台上,因此这些敏感信息仍然是完整的。

谷歌之后将在专门网站上发布更多详情。研究人员在博客上还发布了更多细节。



用户能做的不多


尽管谷歌最近发布更新,修复了Pixel 手机中的漏洞,但在过去五年中共享的图片仍然受 Acropalypse 攻击,而且不存在任何补救措施。

鉴于此,该漏洞可能会对上传了包含敏感信息的通过Markup截屏的用户带来严重的隐私问题。它同时也会对共享自己照片的用户造成影响,因为此前图片的某些部分可能是被编辑过的但现在很可能是可恢复的。

遗憾的是,该漏洞影响运行安卓9 Pie及后续所有版本。值得注意的是谷歌已经在三月份为Pixel 4a、5a、7和7 Pro 发布了安全更新,不过比原计划推迟一周,正好与季度“Pixel特性释放”和18个Exynos 0day漏洞(影响Pixel 6和7系列)时间重合。不过,Exynos 漏洞和Markup漏洞仍然需要在Pixel 6a、6和 6 Pro中修复,因为2023年的安全更新仍然没有发布这些版本的更新。

另外,Acropalypse 攻击还影响使用第三方安卓发行版本的非 Pixel 智能手机,这些手机使用Markup 工具编辑截屏/图片。类似问题也发生在Google Docs中,可导致具有只读权限的用户恢复共享文档中已编辑图片的原始版本。




谷歌Pixel手机漏洞可导致打码信息被复原



代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读

奇安信入选全球《软件成分分析全景图》代表厂商

偶然发现谷歌Pixel手机锁屏漏洞,获奖7万美元

谷歌宣布 Pixel Titan M 芯片漏洞奖励计划,最高150万美元

无需指纹、闭眼也能解锁的谷歌 Pixel 4,你敢用吗?

研究员发现谷歌 Pixel 手机远程利用链 获逾10万美元奖励



原文链接

https://www.bleepingcomputer.com/news/security/google-pixel-flaw-allowed-recovery-of-redacted-cropped-images/


题图:Pexels License


本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




谷歌Pixel手机漏洞可导致打码信息被复原
谷歌Pixel手机漏洞可导致打码信息被复原

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   谷歌Pixel手机漏洞可导致打码信息被复原 觉得不错,就点个 “在看” 或 "” 吧~

原文始发于微信公众号(代码卫士):谷歌Pixel手机漏洞可导致打码信息被复原

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月22日02:11:59
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   谷歌Pixel手机漏洞可导致打码信息被复原https://cn-sec.com/archives/1620017.html

发表评论

匿名网友 填写信息