Se exploradas, essas falhas podem permitir que invasores obtenham acesso não autorizado a informações confidenciais ou geralmente causem problemas
Informações foram divulgadas sobre uma vulnerabilidade (já catalogado sob CVE-2023-21036) identificado no aplicativo de marcação usado em smartphones Google Pixel para cortar e editar capturas de tela, o que permite a restauração parcial de informações cortadas ou editadas.
Os engenheiros Simon Aarons e David Buchanan, que encontraram o bug e produziram uma ferramenta para recuperação de prova de conceito, respectivamente, eles o chamaram de Cropalypse e observaram que "esse bug é ruim" para pessoas preocupadas com sua privacidade.
Isso significa que, se alguém obtiver sua imagem cortada, poderá tentar recuperar a parte que aparentemente está faltando. Se a imagem foi editada com rabiscos em certas áreas, essas áreas podem ser visíveis na imagem restaurada. Isso não é bom para a privacidade.
O problema se manifesta ao editar imagens PNG na marcação e é causada pelo fato de que quando uma nova imagem modificada é gravada, os dados são sobrepostos ao arquivo anterior sem truncamento, ou seja, o arquivo final obtido após a edição inclui a cauda do arquivo de origem, no qual os dados permanecem. dados compactados.
O problema É classificado como uma vulnerabilidade. já que um usuário pode postar uma imagem editada após a remoção de dados confidenciais, mas na verdade esses dados permanecem no arquivo, embora não sejam visíveis durante a visualização normal. Para restaurar os dados restantes, o serviço da web acropalypse.app foi lançado e um exemplo de script Python foi publicado.
A vulnerabilidade vem se manifestando desde a série de smartphones Google Pixel 3 lançada em 2018 usando firmware baseado no Android 10 e versões mais recentes. O problema foi corrigido na atualização de firmware do Android de março para smartphones Pixel.
"O resultado final é que o arquivo de imagem é aberto sem o sinalizador [truncado], de modo que, quando a imagem cortada é gravada, a imagem original não é truncada", disse Buchanan. "Se o novo arquivo de imagem for menor, o final do original será deixado para trás."
Os pedaços do arquivo que deveriam estar truncados foram considerados recuperáveis como imagens depois de fazer alguma engenharia reversa da metodologia da biblioteca de compactação zlib, que Buchahan diz que conseguiu fazer "depois de algumas horas brincando". O resultado final é uma prova de conceito que qualquer pessoa com um dispositivo Pixel afetado pode testar por conta própria.
Se crê que o problema ocorre devido a uma alteração de comportamento não documentada do método ParcelFileDescriptor.parseMode() , em que, antes do lançamento da plataforma Android 10, o sinalizador "w" (escrever) fez com que o arquivo fosse truncado ao tentar gravar em um arquivo já existente, mas desde o lançamento do Android 10, o comportamento mudou e para o truncamento foi necessário especificar explicitamente o sinalizador "wt" (escrever, truncar) e quando o sinalizador "w" foi especificado, a fila não foi mais removida após a reescrita .
Resumindo, a falha “aCropalypse” permitia que alguém tirasse uma captura de tela PNG cortada na marcação e desfizesse pelo menos algumas das edições na imagem. É fácil imaginar cenários em que um mau ator poderia abusar dessa habilidade. Por exemplo, se um proprietário de Pixel usou Markup para redigir uma imagem que incluía informações confidenciais sobre ele, alguém poderia explorar a falha para revelar essas informações.
Cabe mencionar que O Google corrigiu o Cropalypse na sua Atualizações de segurança do pixel de março (pouco antes de os detalhes da vulnerabilidade serem divulgados):
Tudo está bem no futuro: agora você pode recortar, redigir e compartilhar sem medo de que suas imagens futuras possam ser recuperadas, mas nenhuma captura de tela não compartilhada que seja vulnerável ao exploit já passou, carregou no Discord, etc.
Finalmente se você estiver interessado em saber mais sobre isso sobre a vulnerabilidade, você pode consultar a publicação original em o seguinte link.