Als deze fouten worden misbruikt, kunnen aanvallers ongeoorloofde toegang krijgen tot gevoelige informatie of in het algemeen problemen veroorzaken
Er is informatie vrijgegeven over een kwetsbaarheid (reeds gecatalogiseerd onder CVE-2023-21036) geïdentificeerd in de Markup-app gebruikt in de smartphones Google Pixel om schermafbeeldingen bij te snijden en te bewerken, waardoor bijgesneden of bewerkte informatie gedeeltelijk kan worden hersteld.
De ingenieurs Simon Aarons en David Buchanan, die de bug vonden en er een tool voor maakten herstel van bewijs van concept, respectievelijk noemden ze het Cropalypse en merkten op dat "deze bug slecht is" voor mensen die zich zorgen maken over hun privacy.
Dat betekent dat als iemand uw bijgesneden afbeelding in handen krijgt, ze kunnen proberen het deel dat blijkbaar ontbreekt terug te krijgen. Als de afbeelding is geredigeerd met krabbels over bepaalde gebieden, kunnen die gebieden zichtbaar zijn in de herstelde afbeelding. Dit is niet goed voor de privacy.
Het probleem manifesteert zich bij het bewerken van PNG-afbeeldingen in Markup en wordt veroorzaakt door het feit dat wanneer een nieuwe gewijzigde afbeelding wordt geschreven, de gegevens zonder afkapping bovenop het vorige bestand worden geplaatst, dat wil zeggen, het uiteindelijke bestand dat na bewerking wordt verkregen, bevat de staart van het bronbestand, waarin de gegevens blijven. gecomprimeerde gegevens.
Het probleem Het is geclassificeerd als een kwetsbaarheid. aangezien een gebruiker een bewerkte afbeelding kan posten na het verwijderen van gevoelige gegevens, maar deze gegevens in feite in het bestand blijven, hoewel ze niet zichtbaar zijn tijdens normale weergave. Om de resterende gegevens te herstellen, werd de webservice acropalypse.app gelanceerd en werd een Python-voorbeeldscript gepubliceerd.
De kwetsbaarheid manifesteert zich sinds de lancering van de Google Pixel 3-serie smartphones in 2018 met behulp van firmware op basis van Android 10 en nieuwere versies. Het probleem is opgelost in de Android-firmware-update van maart voor Pixel-smartphones.
"Het eindresultaat is dat het afbeeldingsbestand wordt geopend zonder de [afgekapte] vlag, zodat wanneer de bijgesneden afbeelding wordt geschreven, de originele afbeelding niet wordt afgekapt," zei Buchanan. "Als het nieuwe afbeeldingsbestand kleiner is, blijft het einde van het origineel achter."
De delen van het bestand die moesten worden afgekapt, bleken te kunnen worden hersteld als afbeeldingen na wat reverse engineering van de zlib-compressiebibliotheekmethodologie, wat Buchahan zegt te kunnen doen "na een paar uur spelen". Het eindresultaat is een proof of concept dat iedereen met een getroffen Pixel-apparaat zelf kan testen.
Men gelooft dat het probleem is te wijten aan een ongedocumenteerde gedragsverandering van de methode ParcelFileDescriptor.parseMode() , waarin, voorafgaand aan de release van het Android 10-platform, de "w" (write) vlag zorgde ervoor dat het bestand werd afgekapt bij het schrijven naar een reeds bestaand bestand, maar sinds de release van Android 10 is het gedrag veranderd en voor afkappen was het vereist om expliciet de vlag "wt" (schrijven, afkappen) te specificeren en wanneer de vlag "w" was gespecificeerd, werd de wachtrij niet langer verwijderd na herschrijven .
Kortom, door de "aCropalypse"-fout kon iemand een bijgesneden PNG-screenshot maken in Markup en ten minste enkele van de bewerkingen aan de afbeelding ongedaan maken. Het is gemakkelijk om scenario's voor te stellen waarin een slechte acteur dat vermogen zou kunnen misbruiken. Als een Pixel-eigenaar Markup bijvoorbeeld heeft gebruikt om een afbeelding te redigeren die gevoelige informatie over hemzelf bevat, kan iemand de fout misbruiken om die informatie vrij te geven.
Dat is het vermelden waard Google heeft Cropalypse gepatcht in de Maart Pixel-beveiligingsupdates (net voordat de details van de kwetsbaarheid werden vrijgegeven):
Alles is goed en wel in de toekomst: nu kun je bijsnijden, redigeren en delen zonder bang te hoeven zijn dat je toekomstige afbeeldingen worden opgehaald, maar er zijn nog geen niet-gedeelde screenshots die kwetsbaar zijn voor de exploit gepasseerd, geüpload naar Discord, enz. .
Eindelijk als u er meer over wilt weten over de kwetsbaarheid kunt u de originele publicatie raadplegen op de volgende link.