aCropalypse, ಸ್ಕ್ರೀನ್‌ಶಾಟ್‌ಗಳನ್ನು ಮರುಸ್ಥಾಪಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುವ ಪಿಕ್ಸೆಲ್ ಸಾಧನಗಳಲ್ಲಿನ ದೋಷ

ಎಂಬ ಬಗ್ಗೆ ಮಾಹಿತಿ ಬಿಡುಗಡೆ ಮಾಡಲಾಗಿದೆ ಒಂದು ದುರ್ಬಲತೆ (ಈಗಾಗಲೇ CVE-2023-21036 ಅಡಿಯಲ್ಲಿ ಪಟ್ಟಿ ಮಾಡಲಾಗಿದೆ) ಗುರುತಿಸಲಾಗಿದೆ ಮಾರ್ಕಪ್ ಅಪ್ಲಿಕೇಶನ್‌ನಲ್ಲಿ ರಲ್ಲಿ ಬಳಸಲಾಗುತ್ತದೆ ಸ್ಮಾರ್ಟ್ಫೋನ್ಗಳು ಗೂಗಲ್ ಪಿಕ್ಸೆಲ್ ಸ್ಕ್ರೀನ್‌ಶಾಟ್‌ಗಳನ್ನು ಕ್ರಾಪ್ ಮಾಡಲು ಮತ್ತು ಸಂಪಾದಿಸಲು, ಇದು ಕತ್ತರಿಸಿದ ಅಥವಾ ಸಂಪಾದಿಸಿದ ಮಾಹಿತಿಯ ಭಾಗಶಃ ಮರುಸ್ಥಾಪನೆಯನ್ನು ಅನುಮತಿಸುತ್ತದೆ.

ಎಂಜಿನಿಯರ್‌ಗಳು ಸೈಮನ್ ಆರನ್ಸ್ ಮತ್ತು ಡೇವಿಡ್ ಬುಕಾನನ್, ಅವರು ದೋಷವನ್ನು ಕಂಡುಹಿಡಿದರು ಮತ್ತು ಸಾಧನವನ್ನು ತಯಾರಿಸಿದರು ಚೇತರಿಕೆ ಪರಿಕಲ್ಪನೆಯ ಪುರಾವೆ, ಕ್ರಮವಾಗಿ, ಅವರು ಅದನ್ನು ಕ್ರೊಪಾಲಿಪ್ಸ್ ಎಂದು ಕರೆದರು ಮತ್ತು ಅವರ ಗೌಪ್ಯತೆಯ ಬಗ್ಗೆ ಕಾಳಜಿವಹಿಸುವ ಜನರಿಗೆ "ಈ ದೋಷವು ಕೆಟ್ಟದಾಗಿದೆ" ಎಂದು ಗಮನಿಸಿದರು.

ಅಂದರೆ ನಿಮ್ಮ ಕತ್ತರಿಸಿದ ಚಿತ್ರವನ್ನು ಯಾರಾದರೂ ಹಿಡಿದಿಟ್ಟುಕೊಂಡರೆ, ಅವರು ಸ್ಪಷ್ಟವಾಗಿ ಕಾಣೆಯಾಗಿರುವ ಭಾಗವನ್ನು ಮರಳಿ ಪಡೆಯಲು ಪ್ರಯತ್ನಿಸಬಹುದು. ಚಿತ್ರವನ್ನು ಕೆಲವು ಪ್ರದೇಶಗಳಲ್ಲಿ ಸ್ಕ್ರಿಬಲ್‌ಗಳೊಂದಿಗೆ ಮರುರೂಪಿಸಿದ್ದರೆ, ಮರುಸ್ಥಾಪಿಸಲಾದ ಚಿತ್ರದಲ್ಲಿ ಆ ಪ್ರದೇಶಗಳು ಗೋಚರಿಸಬಹುದು. ಇದು ಖಾಸಗಿತನಕ್ಕೆ ಒಳ್ಳೆಯದಲ್ಲ.

ಸಮಸ್ಯೆ ಮಾರ್ಕ್‌ಅಪ್‌ನಲ್ಲಿ PNG ಚಿತ್ರಗಳನ್ನು ಸಂಪಾದಿಸುವಾಗ ಪ್ರಕಟವಾಗುತ್ತದೆ ಮತ್ತು ಹೊಸ ಮಾರ್ಪಡಿಸಿದ ಚಿತ್ರವನ್ನು ಬರೆಯುವಾಗ, ಡೇಟಾವನ್ನು ಮೊಟಕುಗೊಳಿಸದೆ ಹಿಂದಿನ ಫೈಲ್‌ನಲ್ಲಿ ಅತಿಕ್ರಮಿಸಲಾಗುತ್ತದೆ, ಅಂದರೆ, ಸಂಪಾದಿಸಿದ ನಂತರ ಪಡೆದ ಅಂತಿಮ ಫೈಲ್ ಮೂಲ ಫೈಲ್‌ನ ಬಾಲವನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ, ಅದರಲ್ಲಿ ಡೇಟಾ ಉಳಿದಿದೆ. ಹಳೆಯದು ಸಂಕುಚಿತ ಡೇಟಾ.

ಸಮಸ್ಯೆ ಇದನ್ನು ದುರ್ಬಲತೆ ಎಂದು ವರ್ಗೀಕರಿಸಲಾಗಿದೆ. ಸೂಕ್ಷ್ಮ ಡೇಟಾವನ್ನು ತೆಗೆದುಹಾಕಿದ ನಂತರ ಬಳಕೆದಾರರು ಸಂಪಾದಿಸಿದ ಚಿತ್ರವನ್ನು ಪೋಸ್ಟ್ ಮಾಡಬಹುದು, ಆದರೆ ವಾಸ್ತವವಾಗಿ ಈ ಡೇಟಾವು ಫೈಲ್‌ನಲ್ಲಿ ಉಳಿಯುತ್ತದೆ, ಆದರೂ ಇದು ಸಾಮಾನ್ಯ ವೀಕ್ಷಣೆಯ ಸಮಯದಲ್ಲಿ ಗೋಚರಿಸುವುದಿಲ್ಲ. ಉಳಿದ ಡೇಟಾವನ್ನು ಮರುಸ್ಥಾಪಿಸಲು, acropalypse.app ವೆಬ್ ಸೇವೆಯನ್ನು ಪ್ರಾರಂಭಿಸಲಾಯಿತು ಮತ್ತು ಉದಾಹರಣೆ ಪೈಥಾನ್ ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಪ್ರಕಟಿಸಲಾಯಿತು.

ಆಂಡ್ರಾಯ್ಡ್ 3 ಮತ್ತು ಹೊಸ ಆವೃತ್ತಿಗಳನ್ನು ಆಧರಿಸಿದ ಫರ್ಮ್‌ವೇರ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು 2018 ರಲ್ಲಿ ಬಿಡುಗಡೆಯಾದ ಗೂಗಲ್ ಪಿಕ್ಸೆಲ್ 10 ಸರಣಿಯ ಸ್ಮಾರ್ಟ್‌ಫೋನ್‌ಗಳಿಂದ ಈ ದುರ್ಬಲತೆ ವ್ಯಕ್ತವಾಗುತ್ತಿದೆ. ಪಿಕ್ಸೆಲ್ ಸ್ಮಾರ್ಟ್‌ಫೋನ್‌ಗಳಿಗಾಗಿ ಮಾರ್ಚ್ ಆಂಡ್ರಾಯ್ಡ್ ಫರ್ಮ್‌ವೇರ್ ಅಪ್‌ಡೇಟ್‌ನಲ್ಲಿ ಸಮಸ್ಯೆಯನ್ನು ಪರಿಹರಿಸಲಾಗಿದೆ.

"ಅಂತಿಮ ಫಲಿತಾಂಶವೆಂದರೆ ಇಮೇಜ್ ಫೈಲ್ ಅನ್ನು [ಮೊಟಕುಗೊಳಿಸಿದ] ಫ್ಲ್ಯಾಗ್ ಇಲ್ಲದೆ ತೆರೆಯಲಾಗುತ್ತದೆ, ಆದ್ದರಿಂದ ಕತ್ತರಿಸಿದ ಚಿತ್ರವನ್ನು ಬರೆಯುವಾಗ, ಮೂಲ ಚಿತ್ರವನ್ನು ಮೊಟಕುಗೊಳಿಸಲಾಗುವುದಿಲ್ಲ" ಎಂದು ಬುಕಾನನ್ ಹೇಳಿದರು. "ಹೊಸ ಇಮೇಜ್ ಫೈಲ್ ಚಿಕ್ಕದಾಗಿದ್ದರೆ, ಮೂಲದ ಅಂತ್ಯವು ಹಿಂದೆ ಉಳಿದಿದೆ."

zlib ಕಂಪ್ರೆಷನ್ ಲೈಬ್ರರಿ ವಿಧಾನದ ಕೆಲವು ರಿವರ್ಸ್ ಇಂಜಿನಿಯರಿಂಗ್ ಮಾಡಿದ ನಂತರ ಮೊಟಕುಗೊಳಿಸಬೇಕಾಗಿದ್ದ ಫೈಲ್‌ನ ತುಣುಕುಗಳನ್ನು ಚಿತ್ರಗಳಾಗಿ ಮರುಪಡೆಯಬಹುದು ಎಂದು ಕಂಡುಬಂದಿದೆ, ಇದನ್ನು ಬುಚಾಹಾನ್ ಅವರು "ಕೆಲವು ಗಂಟೆಗಳ ಆಟವಾಡಿದ ನಂತರ" ಮಾಡಲು ಸಾಧ್ಯವಾಯಿತು ಎಂದು ಹೇಳುತ್ತಾರೆ. ಅಂತಿಮ ಫಲಿತಾಂಶವು ಪೀಡಿತ Pixel ಸಾಧನವನ್ನು ಹೊಂದಿರುವ ಯಾರಾದರೂ ತಮ್ಮನ್ನು ತಾವು ಪರೀಕ್ಷಿಸಿಕೊಳ್ಳಬಹುದು ಎಂಬ ಪರಿಕಲ್ಪನೆಯ ಪುರಾವೆಯಾಗಿದೆ.

ಎಂದು ನಂಬಲಾಗಿದೆ ParcelFileDescriptor.parseMode() ವಿಧಾನದ ದಾಖಲೆರಹಿತ ವರ್ತನೆಯ ಬದಲಾವಣೆಯಿಂದಾಗಿ ಸಮಸ್ಯೆಯಾಗಿದೆ , ಇದರಲ್ಲಿ, Android 10 ಪ್ಲಾಟ್‌ಫಾರ್ಮ್‌ನ ಬಿಡುಗಡೆಯ ಮೊದಲು, "w" (ಬರೆಯಿರಿ) ಫ್ಲ್ಯಾಗ್ ಈಗಾಗಲೇ ಅಸ್ತಿತ್ವದಲ್ಲಿರುವ ಫೈಲ್‌ಗೆ ಬರೆಯಲು ಪ್ರಯತ್ನಿಸುವಾಗ ಫೈಲ್ ಮೊಟಕುಗೊಳ್ಳಲು ಕಾರಣವಾಯಿತು, ಆದರೆ Android 10 ಬಿಡುಗಡೆಯಾದಾಗಿನಿಂದ, ನಡವಳಿಕೆಯು ಬದಲಾಗಿದೆ ಮತ್ತು ಮೊಟಕುಗೊಳಿಸಲು "wt" (ಬರೆಯಿರಿ, ಮೊಟಕುಗೊಳಿಸಿ) ಫ್ಲ್ಯಾಗ್ ಅನ್ನು ಸ್ಪಷ್ಟವಾಗಿ ನಿರ್ದಿಷ್ಟಪಡಿಸುವ ಅಗತ್ಯವಿದೆ ಮತ್ತು "w" ಫ್ಲ್ಯಾಗ್ ಅನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಿದಾಗ, ಮರು-ಬರೆದ ನಂತರ ಸರದಿಯನ್ನು ತೆಗೆದುಹಾಕಲಾಗುವುದಿಲ್ಲ .

ಸಂಕ್ಷಿಪ್ತವಾಗಿ ಹೇಳುವುದಾದರೆ, "aCropalypse" ದೋಷವು ಮಾರ್ಕಪ್‌ನಲ್ಲಿ ಕತ್ತರಿಸಿದ PNG ಸ್ಕ್ರೀನ್‌ಶಾಟ್ ಅನ್ನು ತೆಗೆದುಕೊಳ್ಳಲು ಮತ್ತು ಚಿತ್ರಕ್ಕೆ ಕನಿಷ್ಠ ಕೆಲವು ಸಂಪಾದನೆಗಳನ್ನು ರದ್ದುಗೊಳಿಸಲು ಯಾರಿಗಾದರೂ ಅವಕಾಶ ಮಾಡಿಕೊಟ್ಟಿತು. ಕೆಟ್ಟ ನಟನು ಆ ಸಾಮರ್ಥ್ಯವನ್ನು ದುರುಪಯೋಗಪಡಿಸಿಕೊಳ್ಳುವ ಸನ್ನಿವೇಶಗಳನ್ನು ಕಲ್ಪಿಸುವುದು ಸುಲಭ. ಉದಾಹರಣೆಗೆ, Pixel ಮಾಲೀಕರು ತಮ್ಮ ಬಗ್ಗೆ ಸೂಕ್ಷ್ಮ ಮಾಹಿತಿಯನ್ನು ಒಳಗೊಂಡಿರುವ ಚಿತ್ರವನ್ನು ಮರುರೂಪಿಸಲು ಮಾರ್ಕಪ್ ಅನ್ನು ಬಳಸಿದರೆ, ಆ ಮಾಹಿತಿಯನ್ನು ಬಹಿರಂಗಪಡಿಸಲು ಯಾರಾದರೂ ದೋಷವನ್ನು ಬಳಸಿಕೊಳ್ಳಬಹುದು.

ಅದನ್ನು ಉಲ್ಲೇಖಿಸಬೇಕಾದ ಸಂಗತಿ ಗೂಗಲ್ ಕ್ರೋಪಾಲಿಪ್ಸ್ ಅನ್ನು ಪ್ಯಾಚ್ ಮಾಡಿದೆ ಅವುಗಳಲ್ಲಿ ಮಾರ್ಚ್ ಪಿಕ್ಸೆಲ್ ಭದ್ರತಾ ನವೀಕರಣಗಳು (ದುರ್ಬಲತೆಯ ವಿವರಗಳನ್ನು ಬಿಡುಗಡೆ ಮಾಡುವ ಮೊದಲು):

ಭವಿಷ್ಯದಲ್ಲಿ ಎಲ್ಲವೂ ಚೆನ್ನಾಗಿದೆ ಮತ್ತು ಉತ್ತಮವಾಗಿದೆ: ಈಗ ನೀವು ನಿಮ್ಮ ಭವಿಷ್ಯದ ಚಿತ್ರಗಳನ್ನು ಹಿಂಪಡೆಯಬಹುದು ಎಂಬ ಭಯವಿಲ್ಲದೆ ಕ್ರಾಪ್ ಮಾಡಬಹುದು, ಮರುಪರಿಶೀಲಿಸಬಹುದು ಮತ್ತು ಹಂಚಿಕೊಳ್ಳಬಹುದು, ಆದರೆ ಶೋಷಣೆಗೆ ಗುರಿಯಾಗುವ ಯಾವುದೇ ಹಂಚಿಕೊಳ್ಳದ ಸ್ಕ್ರೀನ್‌ಶಾಟ್‌ಗಳು ಈಗಾಗಲೇ ರವಾನಿಸಿಲ್ಲ, ಅಪಶ್ರುತಿಗೆ ಅಪ್‌ಲೋಡ್ ಮಾಡಿಲ್ಲ, ಇತ್ಯಾದಿ. 

ಅಂತಿಮವಾಗಿ ನೀವು ಅದರ ಬಗ್ಗೆ ಇನ್ನಷ್ಟು ತಿಳಿದುಕೊಳ್ಳಲು ಆಸಕ್ತಿ ಹೊಂದಿದ್ದರೆ ದುರ್ಬಲತೆಯ ಬಗ್ಗೆ, ನೀವು ಮೂಲ ಪ್ರಕಟಣೆಯನ್ನು ಇಲ್ಲಿ ಸಂಪರ್ಕಿಸಬಹುದು ಕೆಳಗಿನ ಲಿಂಕ್.