Een beveiligingsfout die het standaard hulpprogramma voor het bewerken van screenshots van de Google Pixel, Markup, aantast, zorgt ervoor dat afbeeldingen gedeeltelijk „onbewerkt“ kunnen worden, waardoor mogelijk de persoonlijke informatie wordt onthuld die gebruikers hebben verborgen, zoals eerder opgemerkt door 9to5Google En Android-politie. De kwetsbaarheid, die was ontdekt door reverse engineers Simon Aaarons en David Buchanan, is sindsdien gepatcht door Google, maar heeft nog steeds wijdverspreide implicaties voor de bewerkte schermafbeeldingen die voorafgaand aan de update werden gedeeld.
Zoals beschreven in een thread die Aaarons op Twitter plaatste, maakt de toepasselijk genaamde „aCropalypse“-fout het voor iemand mogelijk om PNG-screenshots die in Markup zijn bewerkt gedeeltelijk te herstellen. Dat omvat scenario’s waarin iemand de tool mogelijk heeft gebruikt om zijn naam, adres, creditcardnummer of andere persoonlijke informatie die de schermafbeelding bevat bij te snijden of te krabbelen. Een kwaadwillende zou dit beveiligingslek kunnen misbruiken om sommige van die wijzigingen ongedaan te maken en informatie te verkrijgen waarvan gebruikers dachten dat ze deze verborgen hadden gehouden.
In een aanstaande pagina met veelgestelde vragen die vroeg is verkregen door 9to5Google, leggen Aarons en Buchanan uit dat deze fout bestaat omdat Markup de originele schermafbeelding op dezelfde bestandslocatie opslaat als de bewerkte en nooit de originele versie verwijdert. Als de bewerkte versie van de schermafbeelding kleiner is dan het origineel, „blijft het laatste deel van het originele bestand achter, nadat het nieuwe bestand zou zijn geëindigd.“
Volgens naar Buchanan, verscheen deze bug ongeveer vijf jaar geleden voor het eerst, rond dezelfde tijd dat Google Markup introduceerde met de Android 9 Pie-update. Dat is wat dit des te erger maakt, omdat oudere screenshots van jaren die met Markup zijn bewerkt en op sociale-mediaplatforms zijn gedeeld, kwetsbaar kunnen zijn voor de exploit.
Op de pagina met veelgestelde vragen staat dat terwijl bepaalde sites, waaronder Twitter, de afbeeldingen die op de platforms zijn geplaatst opnieuw verwerken en de fout verwijderen, andere, zoals Discord, dat niet doen. Discord heeft de exploit nog maar net gepatcht in een recente update van 17 januari, wat betekent dat bewerkte afbeeldingen die vóór die datum op het platform zijn gedeeld, mogelijk gevaar lopen. Het is nog steeds niet duidelijk of er andere getroffen sites of apps zijn en, zo ja, welke dat zijn.
Het door Aarons geposte voorbeeld (hierboven ingesloten) toont een bijgesneden afbeelding van een creditcard die op Discord is geplaatst, waarbij ook het kaartnummer is geblokkeerd met behulp van de zwarte pen van de Markup-tool. Zodra Aarons de afbeelding heeft gedownload en misbruik heeft gemaakt van de aCropalypse-kwetsbaarheid, raakt het bovenste deel van de afbeelding beschadigd, maar hij kan nog steeds de delen zien die in Markup zijn verwijderd, inclusief het creditcardnummer. Je kunt meer lezen over de technische details van de fout in de blogpost van Buchanan.
Nadat Aarons en Buchanan de fout (CVE-2023-21036) in januari aan Google hadden gemeld, loste het bedrijf het probleem op in een beveiligingsupdate van maart voor de Pixel 4A, 5A, 7 en 7 Pro met de ernst geclassificeerd als ‚hoog‘. Het is onduidelijk wanneer deze update beschikbaar zal zijn voor de andere apparaten die door de kwetsbaarheid zijn getroffen, en Google heeft niet onmiddellijk gereageerd De randverzoek om meer informatie. Als je wilt zien hoe het probleem voor jezelf werkt, kun je een screenshot uploaden dat is bewerkt met een niet-geüpdatete versie van de Markup-tool naar deze demopagina gemaakt door Aarons en Buchanan. Of u kunt een aantal van de bekijken eng voorbeelden op internet geplaatst.
Deze fout kwam aan het licht slechts enkele dagen nadat het beveiligingsteam van Google ontdekte dat de Samsung Exynos-modems in de Pixel 6, Pixel 7 en bepaalde Galaxy S22- en A53-modellen hackers in staat zouden kunnen stellen apparaten op afstand te compromitteren met alleen het telefoonnummer van een slachtoffer. Google heeft het probleem sindsdien gepatcht in de update van maart, hoewel dit nog steeds niet beschikbaar is voor de Pixel 6-, 6 Pro- en 6A-apparaten.
