Hafta sonu, CVE-2023-21036’yı keşfeden tersine mühendisler Simon Aarons ve David Buchanan, güvenlik açığı hakkında daha fazla bilgi paylaştılar ve Pixel kullanıcılarının, Google’ın gözetiminin doğası gereği eski görüntülerinin gizliliğinin ihlal edilmesi riskinin hala devam ettiğini ortaya çıkardılar.
Kısacası, “aCropalypse” kusuru, birisinin İşaretlemede kırpılmış bir PNG ekran görüntüsü almasına ve görüntüdeki düzenlemelerin en azından bazılarını geri almasına izin veriyor. Kötü bir aktörün bu yeteneği kötüye kullanabileceği senaryoları hayal etmek oldukça kolay. Örneğin, bir Piksel sahibi kendisi hakkında hassas bilgiler içeren bir resmi yeniden düzenlemek için İşaretleme’yi kullanırsa, birisi bu bilgiyi ortaya çıkarmak için bu açıktan yararlanabilir.
Google Pixel güvenlik açığı ile gündemde
Buchanan’a göre açık, 2018’de Android 9 Pie ile birlikte Markup’ın piyasaya sürülmesiyle aynı zamana denk gelen yaklaşık beş yıllık süreçte var. Ve sorun da burada yatıyor. Mart güvenlik düzeltme güncellemesi, İşaretleme’nin gelecekteki görüntüleri tehlikeye atmasını engelleyecek olsa da, Pixel kullanıcılarının geçmişte paylaşmış olabileceği bazı ekran görüntüleri hala risk altında.
Pixel kullanıcılarının bu açıkla ilgili ne derece endişelenmeleri gerektiğini söylemek zor. Aarons ve Buchanan’ın 9to5Google ve The Verge ile paylaştığı bir SSS sayfasına göre, Twitter da dahil olmak üzere bazı web siteleri, görüntüleri, birisinin bir ekran görüntüsünü veya görüntüyü tersine çevirmek için güvenlik açığından yararlanamayacağı şekilde işleyebiliyor. Ancak diğer platformlardaki kullanıcılar o kadar şanslı değil. Aarons ve Buchanan, sohbet uygulamasının istismarı 17 Ocak’taki son güncellemesine kadar düzeltmediğini belirterek Discord’u özellikle işaret ediyor. Şu anda, diğer sosyal medyada ve sohbet uygulamalarında paylaşılan görüntülerin benzer şekilde savunmasız bırakılıp bırakılmadığı ise belli değil.
Kaynak: Teknolojioku