O que acabou de acontecer? Os usuários que editam imagens em telefones Google Pixel ou PCs com Windows precisam ter muito cuidado com as ferramentas que usam. Um novo bug foi descoberto nos sistemas operacionais do Google e da Microsoft, onde imagens previamente cortadas podem ser recuperadas por meio de um script “universal” que funciona em ambos os sistemas.
Há um novo bug de segurança na cidade e pode significar problemas para a privacidade dos usuários nas plataformas Android e Windows. A falha foi descoberta pela primeira vez pelo pesquisador de segurança Simon Aarons na ferramenta de edição de captura de tela Markup do Google disponível em smartphones Pixel, onde foi apelidada de “Acropalypse”. Ao explorar o bug, um script poderia recuperar a parte da imagem deixada de fora após a edição.
Conforme verificado pelo pesquisador de segurança David Buchanan, o bug também está afetando as edições mais recentes do Windows. A falha funciona em arquivos de imagem salvos no formato PNG, que determina que o conteúdo da imagem termine com um bloco de dados “IEND”; quaisquer dados adicionados após a parte IEND serão ignorados pelos visualizadores de imagens ou ferramentas de edição.
Buchanan descobriu que, quando uma captura de tela é cortada por meio da ferramenta de recorte do Windows 11 e salva sobre o arquivo de imagem original, um novo bloco de dados IEND é adicionado à imagem PNG, mas uma parte da captura de tela original ainda está presente após a seção de dados IEND .
puta merda.
A ferramenta de recorte do Windows também é vulnerável ao Acropalypse.
Uma base de código totalmente não relacionada.
O mesmo script de exploração funciona com pequenas alterações (o formato de pixel é RGBA, não RGB)
Me testei no Windows 11 https://t.co/5q2vb6jWOn pic.twitter.com/ovJKPr0x5Y
—David Buchanan (@David3141593) 21 de março de 2023
Com apenas algumas “pequenas mudanças”, diz Buchanan, o mesmo script Acropalypse que pode recuperar uma imagem recortada no Android também é capaz de fazer o mesmo no Windows. Estamos falando apenas de uma restauração parcial da imagem original aqui, mas o bug pode ser uma ameaça potencial à privacidade ou segurança se a imagem original incluir dados sensíveis (ou mesmo secretos).
A falha Acropalypse afeta o Google Markup no Android, a ferramenta Snipping no Windows 11 e a ferramenta Snip and Sketch no Windows 10. A exploração provou ser eficaz na recuperação de dados parcialmente apagados em imagens PNG “não otimizadas”, disse Buchanan, embora o A ferramenta de recorte acima mencionada também parece deixar dados extras no final das imagens JPEG editadas (cortadas).
O Google já corrigiu a falha em seus telefones Pixel, enquanto a Microsoft ainda está investigando o problema. Para minimizar o risco, os usuários do Windows podem usar aplicativos de terceiros para suas tarefas de edição e corte, onde os dados extras após o bloco IEND são aparentemente apagados para sempre.