যদি শোষিত হয়, এই ত্রুটিগুলি আক্রমণকারীদের সংবেদনশীল তথ্যে অননুমোদিত অ্যাক্সেস পেতে বা সাধারণত সমস্যা সৃষ্টি করতে পারে
সম্পর্কে তথ্য প্রকাশ করা হয় একটি দুর্বলতা (ইতিমধ্যে CVE-2023-21036 এর অধীনে তালিকাভুক্ত) চিহ্নিত করা হয়েছে মার্কআপ অ্যাপে ব্যবহৃত স্মার্টফোনগুলি Google পিক্সেল স্ক্রিনশট ক্রপ এবং সম্পাদনা করতে, যা ক্রপ করা বা সম্পাদিত তথ্য আংশিক পুনরুদ্ধারের অনুমতি দেয়।
ইঞ্জিনিয়াররা সাইমন অ্যারনস এবং ডেভিড বুকানান, যারা বাগ খুঁজে পেয়েছেন এবং এর জন্য একটি টুল তৈরি করেছেন এর পুনরুদ্ধার ধারণার প্রমাণ, যথাক্রমে, তারা একে ক্রপ্যালাইপস নামে অভিহিত করেছে এবং উল্লেখ করেছে যে তাদের গোপনীয়তার বিষয়ে উদ্বিগ্ন লোকদের জন্য "এই বাগটি খারাপ"।
এর অর্থ হল কেউ যদি আপনার ক্রপ করা চিত্রটি ধরে ফেলে তবে তারা দৃশ্যত অনুপস্থিত অংশটি ফিরে পাওয়ার চেষ্টা করতে পারে। যদি ছবিটি নির্দিষ্ট কিছু জায়গায় স্ক্রীবল দিয়ে সংশোধন করা হয়, তবে সেই এলাকাগুলি পুনরুদ্ধার করা ছবিতে দৃশ্যমান হতে পারে। এটি গোপনীয়তার জন্য ভাল নয়।
সমস্যা মার্কআপে PNG ছবি সম্পাদনা করার সময় প্রকাশ পায় এবং এটি এই কারণে ঘটে যে যখন একটি নতুন পরিবর্তিত চিত্র লেখা হয়, তখন ডেটা ছেঁটে ফেলা ছাড়াই পূর্ববর্তী ফাইলের উপর চাপিয়ে দেওয়া হয়, অর্থাৎ, সম্পাদনা করার পরে প্রাপ্ত চূড়ান্ত ফাইলে উৎস ফাইলের লেজ অন্তর্ভুক্ত থাকে, যেখানে ডেটা অবশিষ্ট থাকে। সংকুচিত তথ্য।
সমস্যা এটি একটি দুর্বলতা হিসাবে শ্রেণীবদ্ধ করা হয়। যেহেতু একজন ব্যবহারকারী সংবেদনশীল ডেটা মুছে ফেলার পরে একটি সম্পাদিত ছবি পোস্ট করতে পারেন, কিন্তু প্রকৃতপক্ষে এই ডেটা ফাইলে থেকে যায়, যদিও এটি স্বাভাবিক দেখার সময় দৃশ্যমান হয় না। অবশিষ্ট ডেটা পুনরুদ্ধার করতে, acropalypse.app ওয়েব পরিষেবা চালু করা হয়েছিল এবং একটি উদাহরণ পাইথন স্ক্রিপ্ট প্রকাশিত হয়েছিল।
অ্যান্ড্রয়েড 3 এবং নতুন সংস্করণের উপর ভিত্তি করে ফার্মওয়্যার ব্যবহার করে 2018 সালে চালু হওয়া Google Pixel 10 সিরিজের স্মার্টফোনের পর থেকে দুর্বলতা প্রকাশ পাচ্ছে। পিক্সেল স্মার্টফোনের জন্য মার্চ মাসে অ্যান্ড্রয়েড ফার্মওয়্যার আপডেটে সমস্যাটি ঠিক করা হয়েছিল।
"শেষ ফলাফল হল যে চিত্র ফাইলটি [ছাঁটা] পতাকা ছাড়াই খোলা হয়, যাতে ক্রপ করা চিত্রটি লেখা হলে, আসল চিত্রটি ছাঁটাই না হয়," বুকানন বলেছিলেন। "নতুন ইমেজ ফাইলটি ছোট হলে, আসলটির শেষটি পিছনে চলে যায়।"
ফাইলের যে অংশগুলি কেটে ফেলার কথা ছিল সেগুলি zlib কম্প্রেশন লাইব্রেরি পদ্ধতির কিছু বিপরীত প্রকৌশল করার পরে চিত্র হিসাবে পুনরুদ্ধারযোগ্য বলে পাওয়া গেছে, যা বুচাহান বলেছেন যে তিনি "কয়েক ঘন্টা খেলার পরে" করতে সক্ষম হয়েছেন। শেষ ফলাফলটি ধারণার একটি প্রমাণ যে একটি প্রভাবিত Pixel ডিভাইস সহ যে কেউ নিজের জন্য পরীক্ষা করতে পারে।
এটা বিশ্বাস করা হয় যে ParcelFileDescriptor.parseMode() পদ্ধতির একটি অনথিভুক্ত আচরণ পরিবর্তনের কারণে সমস্যাটি হয়েছে , যেখানে, Android 10 প্ল্যাটফর্ম প্রকাশের আগে, "w" (লিখুন) পতাকা ইতিমধ্যে বিদ্যমান ফাইলে লেখার চেষ্টা করার সময় ফাইলটি কেটে ফেলা হয়েছে, কিন্তু Android 10 প্রকাশের পর থেকে, আচরণ পরিবর্তিত হয়েছে এবং ছেঁটে ফেলার জন্য এটিকে স্পষ্টভাবে "wt" (লিখুন, ছাঁটাই) পতাকা নির্দিষ্ট করতে হবে এবং যখন "w" পতাকা নির্দিষ্ট করা হয়েছিল, তখন পুনরায় লেখার পরে সারিটি আর সরানো হয়নি .
সংক্ষেপে, "aCropalypse" ত্রুটি কাউকে মার্কআপে একটি ক্রপ করা PNG স্ক্রিনশট নিতে এবং ছবিটির অন্তত কিছু সম্পাদনা পূর্বাবস্থায় ফেরাতে দেয়৷ এমন পরিস্থিতি কল্পনা করা সহজ যেখানে একজন খারাপ অভিনেতা সেই ক্ষমতার অপব্যবহার করতে পারে। উদাহরণস্বরূপ, যদি একজন Pixel মালিক তার নিজের সম্পর্কে সংবেদনশীল তথ্য অন্তর্ভুক্ত করে এমন একটি চিত্র সংশোধন করতে মার্কআপ ব্যবহার করেন, তাহলে কেউ সেই তথ্য প্রকাশ করতে ত্রুটিটিকে কাজে লাগাতে পারে।
এটি উল্লেখ করার মতো গুগল ক্রপলাইপস প্যাচ করেছে তাদের মধ্যে মার্চ পিক্সেল নিরাপত্তা আপডেট (শুধুমাত্র দুর্বলতার বিবরণ প্রকাশের আগে):
ভবিষ্যতে সব ঠিক আছে এবং ভাল আছে: এখন আপনি ভয় ছাড়াই ক্রপ, রিডাক্ট এবং শেয়ার করতে পারেন যে আপনার ভবিষ্যতের ছবিগুলি পুনরুদ্ধার করা যেতে পারে, তবে শোষণের জন্য ঝুঁকিপূর্ণ এমন কোনও শেয়ার না করা স্ক্রিনশট ইতিমধ্যে পাস হয়নি, ডিসকর্ডে আপলোড করা হয়েছে, ইত্যাদি।
পরিশেষে আপনি যদি এটি সম্পর্কে আরও জানতে আগ্রহী হন দুর্বলতা সম্পর্কে, আপনি মূল প্রকাশনার সাথে পরামর্শ করতে পারেন নিম্নলিখিত লিঙ্ক।