明天,Pixel 6 用戶應該能夠安裝穩定版的 QPR2,其中包括 March 安全補丁。雖然那些安裝了 QPR3 Beta 1 更新的人(就像你一樣)已經有了 3 月的安全補丁,但其他使用 Pixel 6 系列的人將被一個令人討厭的漏洞所覆蓋,該漏洞允許只知道電話號碼的壞人通過這些設備上使用的 Exynos 調製解調器芯片中的缺陷來訪問傳入和傳出數據。另一個漏洞已由 3 月的安全補丁修復,儘管僅安裝更新並不能解決所有問題。根據 9to5Google,逆向工程師 Simon Aaarons 和 David Buchanan 發現一個被稱為“aCropalypse”的缺陷會影響 Pixel 自己的屏幕截圖編輯工具,即 Markup。該缺陷可能允許不良行為者在標記中逆轉對 PNG 屏幕截圖所做的編輯。
標記於 2018 年作為 Android 9 Pie 的一部分發布,允許用戶裁剪、繪製、添加文本和突出顯示屏幕截圖。例如,假設您從銀行網站截取了信用卡的屏幕截圖。您可以使用標記工具提供的黑色標記工具裁剪掉卡號以外的所有內容。如果您在某些平台上共享此圖像,則該漏洞可能允許攻擊者在裁剪或編輯之前看到大部分未經編輯的原始屏幕截圖。
aCropalypse 漏洞如何從編輯後的屏幕截圖中洩露個人信息的示例
換句話說,編輯可以被逆轉,覆蓋卡賬號的黑線將消失,顯示被隱藏的信息。事實上,80% 的屏幕截圖可以恢復,可能允許查看其他個人信息,如地址、電話號碼和其他私人數據。
發生這種情況是因為標記保存了原始的預編輯、預-在與編輯後的屏幕截圖相同的文件位置裁剪屏幕截圖,並且永遠不會刪除原始圖像。 Twitter 等一些平台會重新處理刪除該漏洞的圖像,Discord 直到 1 月才修補其網站,這意味著 1 月 17 日之前在平台上發布的圖像可能存在漏洞。
該漏洞在 3 月的安全性中被指定補丁為 CVE-2023-21036。 CVE 代表 Common Vulnerabilities and Exposures,用於識別、分類和促進缺陷。
您可以在 acropalypse.app(或點按此鏈接)上使用一個網站來確定是否您之前分享的屏幕截圖可能會被利用。考慮到此漏洞早在五年前就首次出現,您可能會編輯一些共享的屏幕截圖以隱藏某些信息。即使在您的 Pixel 手機上安裝了 3 月的安全更新後,隱藏數據也可能存在風險,具體取決於您共享數據的平台。
