Morgen sollten Benutzer von Pixel 6 in der Lage sein, die stabile Version von QPR2 zu installieren, die den März-Sicherheitspatch enthält. Und während diejenigen, die das QPR3 Beta 1-Update installiert haben (wie Sie wirklich), bereits über den März-Sicherheitspatch verfügen, sind die anderen Benutzer der Pixel 6-Serie vor einer bösen Schwachstelle geschützt, die es einem schlechten Schauspieler ermöglicht, nur eine Telefonnummer zu kennen über einen Fehler im Exynos-Modemchip, der auf diesen Geräten verwendet wird, auf eingehende und ausgehende Daten zuzugreifen.
Eine weitere Schwachstelle wird durch den März-Sicherheitspatch gepatcht, obwohl die bloße Installation des Updates nicht alle Ihre Probleme beseitigen wird. Gem
9to5Googleentdeckten die Reverse Engineers Simon Aarons und David Buchanan einen Fehler namens „aCropalypse“, der das eigene Screenshot-Bearbeitungstool von Pixel betrifft, das als Markup bekannt ist. Der Fehler könnte es einem Angreifer ermöglichen, Bearbeitungen von PNG-Screenshots in Markup rückgängig zu machen.
Markup wurde 2018 als Teil von Android 9 Pie veröffentlicht und ermöglicht es Benutzern, Screenshots zuzuschneiden, zu zeichnen, Text hinzuzufügen und hervorzuheben. Angenommen, Sie haben auf der Website Ihrer Bank einen Screenshot Ihrer Kreditkarte gemacht. Sie schneiden alles außer der Kartennummer aus, die Sie mit dem über Markup verfügbaren schwarzen Markierungswerkzeug verdecken. Wenn Sie dieses Bild auf bestimmten Plattformen freigeben, kann die Schwachstelle es dem Angreifer ermöglichen, den größten Teil des ursprünglichen, unbearbeiteten Screenshots zu sehen, bevor er zugeschnitten oder bearbeitet wurde.
Beispiel dafür, wie der aCropalypse-Fehler persönliche Informationen aus einem bearbeiteten Screenshot offenlegen kann
Mit anderen Worten, die Bearbeitungen können rückgängig gemacht werden und die schwarzen Linien, die die Kontonummer der Karte bedecken, verschwinden und geben die verborgenen Informationen preis. Tatsächlich können 80 % des Screenshots wiederhergestellt werden, wodurch möglicherweise andere persönliche Informationen wie Adressen, Telefonnummern und andere private Daten angezeigt werden können.
Dies liegt daran, dass Markup den ursprünglichen vorbearbeiteten, vorbeschnittenen Screenshot am selben Speicherort wie den bearbeiteten Screenshot speichert und das Originalbild niemals löscht. Einige Plattformen wie Twitter verarbeiten das Bild erneut, wodurch der Fehler behoben wird. Discord hat seine Website erst im Januar gepatcht, was bedeutet, dass Bilder, die vor dem 17. Januar auf der Plattform veröffentlicht wurden, anfällig sein könnten.
Der Fehler wurde im März-Sicherheitspatch als CVE-2023-21036 bezeichnet. CVE steht für Common Vulnerabilities and Exposures und wird verwendet, um Fehler zu identifizieren, zu katalogisieren und zu fördern.
Es gibt eine Website, die Sie unter acropalypse.app (bzw
tippen Sie auf diesen Link), um festzustellen, ob ein zuvor geteilter Screenshot ausgenutzt werden kann. Wenn man bedenkt, dass diese Schwachstelle bereits vor fünf Jahren zum ersten Mal aufgetaucht ist, haben Sie möglicherweise einige freigegebene Screenshots, die Sie bearbeitet haben, um bestimmte Informationen zu verbergen. Die versteckten Daten können je nach Plattform, auf der Sie sie geteilt haben, auch nach der Installation des März-Sicherheitsupdates auf Ihrem Pixel-Telefon gefährdet sein.
