Pixel aCropalypse漏洞可能会带来严重的数据风险
•
2023-04-07 15:57:45
摘要 从 Pixel 编辑屏幕截图这样简单易行的事情已经引起了人们的关注。被称为aCropalypse的研究人员 Simon Aarons 和 David Buchanan 在
从 Pixel 编辑屏幕截图这样简单易行的事情已经引起了人们的关注。被称为“aCropalypse”的研究人员 Simon Aarons 和 David Buchanan 在使用标记(通过Android Police)对像素进行一些裁剪后发现了 PNG 屏幕截图的漏洞。该问题被发现影响 Pixel、非 Pixel Android 手机和一些自定义 ROM,并且相当普遍但不限于消息服务 Discord。
两位研究人员都在 1 月 2 日发现了这个严重的安全漏洞,他们迅速找到了一种方法来证明它的存在,然后在当天晚些时候通知谷歌。在承认这一点后,谷歌于 1 月 24 日在内部修补了该问题,但直到将近两个月后才推出修复程序,并在3 月功能下降。
由于研究人员在IssueTracker上发现了 Android 10 的 API 更改,该技术漏洞显然可以追溯到几年前。据说标记工具已更改为不再截断(缩短)图像文件。
简单来说,如果您的原始文件大小为 10MB,在裁剪后变成 3MB,标记工具不会直接丢弃您无用的照片,这些照片在某些情况下会包含非常敏感的信息。正如研究员 Simon 解释的那样,“所以基本上 Pixel 7 Pro,当你裁剪并保存屏幕截图时,会用新版本覆盖图像,但会保留原始文件的其余部分。”
Buchanan 在他们的博客上发布了一些关于 PNG 文件是什么以及它如何操作其数据块的信息。PNG 将其数据压缩成块,如果文件被编辑或裁剪,在这种情况下,这些现有块之一可能包含在编辑过程中删除(或掩盖)的某些内容的信息。Buchanan 解释说,“从理论上讲,图像几乎可以完全由对缺失数据的反向引用组成,但 实际上, 大多数图像都不是这样的。”
版权声明:本文由用户上传,如有侵权请联系删除!
标签: