تأثرت هواتف Pixel الذكية سابقًا بخلل أمني قد يسمح لأي مستخدم باستعادة التفاصيل الحساسة التي تم اقتصاصها أو حذفها من لقطات الشاشة ، وفقًا للبيانات التي شاركها باحثو الأمن. سمح عيب أمني في أداة ترميز Google للهواتف الذكية Pixel لصور لقطة الشاشة التي تم تعديلها بالاحتفاظ ببعض المعلومات الأصلية ، مما يسمح للمستخدمين باستعادة التفاصيل التي كان المرسل قد حجبها في السابق. تم الآن تصحيح الثغرة الأمنية ، التي كانت موجودة منذ عدة سنوات ، بواسطة Google على هواتف Pixel المدعومة حاليًا.
اكتشف الباحثان الأمنيان Simon Aarons و David Buchanan ثغرة أمنية يطلق عليها اسم aCropalypse ، والتي تؤثر على أداة الترميز المستخدمة لاقتصاص لقطات الشاشة وتعديلها وإبرازها على هواتف Pixel. وفق تفاصيل شاركه بوكانان ، أدخل Android 10 بعض التغييرات على النظام التي تسببت في بقاء البيانات التي تم تحريرها من لقطة الشاشة في الصورة. ونتيجة لذلك ، يمكن استعادة هذه البيانات من قبل أي مستخدم تلقى الصورة ، بما في ذلك الغرباء على الإنترنت.
تقديم أكروباليبس: ثغرة أمنية خطيرة في الخصوصية في أداة تحرير لقطة الشاشة المضمنة في Google Pixel ، Markup ، مما يتيح الاسترداد الجزئي لبيانات الصورة الأصلية غير المحررة من لقطة شاشة تم اقتصاصها و / أو تنقيحها. شكرا جزيلا ل @ david3141593 لمساعدته طوال الوقت! pic.twitter.com/BXNQomnHbr
– سيمون آرونز (ItsSimonTime) 17 مارس 2023
في موضوع على Twitter ، أوضح آرونز كيف تعمل ثغرة aCropalypse باستخدام صورة أرسلها إلى مستخدم Discord Retr0id باستخدام تطبيق الاتصال الشهير. يظهر أنه تم تنزيل صورة بطاقة ائتمان تم اقتصاصها وتنقيحها باستخدام أداة “القلم الأسود” ، ثم تخضع لعملية استرداد تؤدي إلى صورة غير مقصوصة لموقع ويب بنك مزيف بنفس بطاقة الائتمان ، إلى جانب رقمه مرئي.
وفقًا لـ Aarons ، إذا كانت لقطة الشاشة المحررة بتنسيق PNG تحتوي على حجم ملف أصغر ، كما هو الحال مع العديد من الصور التي تم اقتصاصها ، فإن “الجزء اللاحق من الملف الأصلي يُترك ، بعد أن يُفترض أن ينتهي الملف الجديد”. ويضيف أنه يمكن بعد ذلك استرداد هذا الجزء اللاحق من الملف. الباحث لديه أيضا نشرت أداة توضح كيفية عمل ثغرة aCropalypse ، مما يسمح للمستخدمين بتحميل لقطة شاشة لمحاولة استرداد الملف الأصلي.
وفي الوقت نفسه ، فإن 9to5Google تقرير نقلاً عن إصدار الوصول المبكر من ملف صفحة التعليمات بالنسبة للثغرة الأمنية ، تنص على أنه ليست كل الصور التي تتم مشاركتها عبر الإنترنت تتأثر بالصورة. تقوم بعض الأنظمة الأساسية ، مثل Twitter ، بمعالجة جميع الصور التي تم تحميلها بطريقة لا تتأثر بعيب أمان aCropalypse. ومع ذلك ، على منصات مثل Discord التي تشارك الصور كما هي ، يمكن أن يتأثر المستخدمون الذين شاركوا لقطات شاشة باستخدام هواتفهم الذكية Pixel منذ Android 10 بالثغرة الأمنية.
يمكن لمالكي Pixel 4a و Pixel 5a و Pixel 7 و Pixel 7 Pro تحديث إلى أحدث إصدار أمني لشهر مارس لتثبيت إصلاح أمني للعيب (CVE-2023-21036) الذي يحتوي على تصنيف “عالي الخطورة” ، وفقًا للتقرير. ومع ذلك ، لا توجد أي معلومات من Google حول موعد تلقي هواتف Pixel المدعومة الأخرى الإصلاحات ، أو ما إذا كانت الشركة ستقوم بتحديث هواتف Pixel التي لم تعد تتلقى تحديثات البرامج مع إصلاح للعيوب.