Pixel aCropalypse漏洞可能会带来严重的数据风险

(资料图)

从 Pixel 编辑屏幕截图这样简单易行的事情已经引起了人们的关注。被称为“aCropalypse”的研究人员 Simon Aarons 和 David Buchanan 在使用标记(通过Android Police)对像素进行一些裁剪后发现了 PNG 屏幕截图的漏洞。该问题被发现影响 Pixel、非 Pixel Android 手机和一些自定义 ROM，并且相当普遍但不限于消息服务 Discord。

两位研究人员都在 1 月 2 日发现了这个严重的安全漏洞，他们迅速找到了一种方法来证明它的存在，然后在当天晚些时候通知谷歌。在承认这一点后，谷歌于 1 月 24 日在内部修补了该问题，但直到将近两个月后才推出修复程序，并在3 月功能下降。

由于研究人员在IssueTracker上发现了 Android 10 的 API 更改，该技术漏洞显然可以追溯到几年前。据说标记工具已更改为不再截断(缩短)图像文件。

简单来说，如果您的原始文件大小为 10MB，在裁剪后变成 3MB，标记工具不会直接丢弃您无用的照片，这些照片在某些情况下会包含非常敏感的信息。正如研究员 Simon 解释的那样，“所以基本上 Pixel 7 Pro，当你裁剪并保存屏幕截图时，会用新版本覆盖图像，但会保留原始文件的其余部分。”

Buchanan 在他们的博客上发布了一些关于 PNG 文件是什么以及它如何操作其数据块的信息。PNG 将其数据压缩成块，如果文件被编辑或裁剪，在这种情况下，这些现有块之一可能包含在编辑过程中删除(或掩盖)的某些内容的信息。Buchanan 解释说，“从理论上讲，图像几乎可以完全由对缺失数据的反向引用组成，但实际上，大多数图像都不是这样的。”

关键词：

(责任编辑：黄俊飞)

Pixel aCropalypse漏洞可能会带来严重的数据风险

时间：2023-04-07 15:53:26来源 : 互联网

推荐内容