Holnap a Pixel 6 felhasználói telepíthetik a QPR2 stabil verzióját, amely tartalmazza a márciusi biztonsági javítást. És bár azok, akik telepítették a QPR3 Beta 1 frissítést (mint a tiéd), már rendelkeznek a márciusi biztonsági javítással, a Pixel 6 sorozat többi felhasználóját lefedik egy csúnya sebezhetőség, amely lehetővé teszi, hogy egy rossz színész csak egy telefonszámot tudjon. a bejövő és kimenő adatokhoz az ezeken az eszközökön használt Exynos modemchip hibáján keresztül hozzáférni. A márciusi biztonsági javítás egy másik sérülékenységet is kijavított, bár pusztán a frissítés telepítésével nem szűnik meg minden probléma. A 9to5Google szerint Simon Aaarons és David Buchanan visszafejtők felfedezték egy”aCropalipse”-nek nevezett hiba, amely a Pixel saját képernyőkép-szerkesztő eszközét érinti, amely Markup néven ismert. A hiba lehetővé teheti egy rossz színész számára, hogy megfordítsa a PNG képernyőképekből készített szerkesztéseket a Markupban.
A Markup az Android 9 Pie részeként jelent meg 2018-ban, és lehetővé teszi a felhasználók számára, hogy levágják, rajzolják, szöveget adjanak hozzá, és képernyőképeket emeljenek ki. Tegyük fel például, hogy bankja webhelyéről készített képernyőképet hitelkártyájáról. Mindent kivág, kivéve a kártyaszámot, amelyet a Markupon keresztül elérhető fekete jelölő eszközzel eltakar. Ha megosztja ezt a képet bizonyos platformokon, a biztonsági rés lehetővé teheti a támadó számára, hogy az eredeti, szerkesztetlen képernyőkép nagy részét lássa, mielőtt azt levágták vagy szerkesztették.
Példa arra, hogy az aCropalipse hibája hogyan fedheti fel a személyes adatokat egy szerkesztett képernyőképről
Más szóval, a szerkesztések visszafordíthatók, és a kártya számlaszámát fedő fekete vonalak eltűnnek, felfedve a rejtett információ. Valójában a képernyőkép 80%-a visszaállítható, esetleg más személyes adatok, például címek, telefonszámok és egyéb személyes adatok megtekintését is lehetővé teszi.
Ez azért történik, mert a Markup menti az eredeti, előre szerkesztett, előre-a képernyőképet ugyanabban a fájlhelyen vágja le, mint a szerkesztett képernyőképet, és soha nem törli az eredeti képet. Egyes platformok, például a Twitter újrafeldolgozza a képet, amely eltávolítja a hibát, a Discord csak januárban javította ki a webhelyét, ami azt jelenti, hogy a platformon január 17-e előtt közzétett képek sebezhetőek lehetnek.
A hibát a márciusi biztonsági jelentésben jelölték meg. javítás CVE-2023-21036 néven. A CVE a Common Vulnerabilities and Exposures rövidítése, és a hibák azonosítására, katalogizálására és népszerűsítésére szolgál.
Van egy webhely, amelyet az acropalypse.app címen használhat (vagy koppintson erre a linkre) annak meghatározásához, hogy egy a korábban megosztott képernyőképet kihasználhatja. Tekintettel arra, hogy ez a sérülékenység öt évvel ezelőtt tűnt fel először, előfordulhat, hogy vannak megosztott képernyőképei, amelyeket bizonyos információk elrejtése érdekében szerkesztett. A rejtett adatok veszélyben lehetnek attól függően, hogy melyik platformon osztotta meg őket, még azután is, hogy telepítette a márciusi biztonsági frissítést Pixel telefonjára.