da Hardware Upgrade :
Un nuovo exploit chiamato “aCropalypse” stato rilevato nella funzionalit di editing degli screenshot di default presente sui device della serie Pixel, chiamata Markup, e poi corretto da Google nelle patch Android di marzo per alcuni dispositivi. Il bug, per, rappresenta ancora oggi un problema nonostante l’aggiornamento di sicurezza rilasciato.
L’exploit sfrutta una vulnerabilit nell’OS che permette a un’applicazione malevola di scoprire parzialmente dettagli eliminati negli screenshot modificati con la funzionalit. Come descrittosu Twitter da Simon Aaarons, che ha scoperto la falla insieme a David Buchanan, il bug consente a un aggressore di recuperare parte degli screenshot modificati con Markup, come ad esempio appunti che possono contenere dati sensibili (il proprio nome, indirizzo, informazioni bancarie). La vulnerabilit pu consentire all’aggressore di annullare alcune delle modifiche compiute dall’utente e ottenere informazioni che gli utenti pensavano di aver nascosto. Nonostante la patch, gli screenshot modificati prima dell’installazione degli ultimi aggiornamenti di sicurezza mantengono la vulnerabilit.
Vulnerabilit sui Pixel, possibile recuperare dettagli eliminati negli screenshot
Aarons e Buchanan hanno spiegato in una FAQ che la falla esiste perch Markup salva lo screenshot originale nella stessa posizione del file modificato senza di fatto eliminare la versione originale. Si tratta di un bug che era gi emerso circa 5 anni fa quando Google introduceva Markup su Android 9 Pie, e che quindi potrebbe mettere a rischio tutti i vecchi screenshot modificati con il tool, anche quelli condivisi sulle piattaforme social potenzialmente vulnerabili all’exploit.
Alcune piattaforme, come Twitter, riprocessano le immagini ed eliminano il problema alla radice, altre non lo fanno (ad esempio Discord, prima di un aggiornamento ricevuto il 17 gennaio). Al momento purtroppo non abbiamo un elenco di siti o applicazioni che sono ancora oggi vulnerabili al problema. Aarons e Buchanan hanno segnalato il difetto (CVE-2023-21036) a gennaio, e Google ha rilasciato il fix nell’aggiornamento di sicurezza di marzo su Pixel 4A, 5A, 7 e 7 Pro, identificando il rischio della vulnerabilit come “alto”. Non sappiamo quale sia l’iter di rilascio del fix per gli altri dispositivi coinvolti (da Pixel 3 in poi).
Per chi volesse verificare il bug sui propri screenshot, pu farlo attraverso lo strumento rilasciato dai due ingegneri software.