ایراد امنیتی در ویرایش تصاویر گوشیهای پیکسل گوگل
ایراد امنیتی در ویرایش تصاویر گوشیهای پیکسل گوگل
به گزارش gsxr و به نقل از ایندیپندنت، این نقطهضعف که «آپوکالیپس» (به معنای آخرالزمان یا مکاشفه یا آشکار کردن) نامیده میشود، به افراد امکان میدهد تا قسمتهای پنهان یک تصویر را که کاربران گوشی پیکسل برش دادهاند، بازیابی کنند.
کارشناسان هشدار میدهند که اسکرینشاتهای برش داده شده ممکن است شامل هر چیزی از کارت اعتباری گرفته تا عکسهای خصوصی باشند.
گوگل در این بین، این مشکل را برطرف کرده است، اما هر عکسی که پیش از رفع مشکل و اصلاح، از طریق ابزار مارکآپ (Markup) ویرایش شده باشد، همچنان در معرض خطر ویرایش وارونه است.
مهندسان سیمون آرونز و دیوید بیوکانن هشدار دادند که این مشکل نخستینبار حدود پنج سال پیش – زمانی که گوگل سیستمعامل اندروید ۹ پای را عرضه کرد – ظاهر شد.
عکسهای بهاشتراک گذاشتهشده در رسانههای اجتماعی ممکن است در برابر این بهرهجو (اکسپلویت) آسیبپذیر باشند، بهعنوان مثال میتوان تصویر برشخوردهای از یک کارت اعتباری بهاشتراک گذاشتهشده در دیسکورد (Discord) را ذکر کرد که با استفاده از ابزار مارکآپ گوگل پیکسل برش خورده و ویرایش شده است.
[توضیح: بهرهجو (exploit) به نرمافزاری گفته میشود که به حفرههای امنیتی یک سامانه یا نرمافزارهای دیگر آن نفوذ کند و به سوءاستفاده از آنها بپردازد.]
مهندسان با استفاده از این ترفند، توانستند برش تصویر کارت اعتباری را بردارند و شماره آن را فاش کنند.
آرونز یافتههای خود را از این ایراد در یک پست وبلاگی مفصل به اشتراک گذاشت.
این دو نفر آن را بهعنوان «یک آسیبپذیری جدی در حریم خصوصی در ابزار ویرایش اسکرینشات داخلی مارکآپ گوگلپیکسل» توصیف کردند که امکان «بازیابی جزئی دادههای تصویر اصلی و ویرایشنشده از یک اسکرینشات برشخورده و/یا ویرایششده» را فراهم میکند.
معرفی آپوکالیپس: یک آسیبپذیری جدی در حریم خصوصی در ابزار ویرایش اسکرینشات داخلی مارکآپ گوگلپیکسل که امکان بازیابی جزئی دادههای تصویر اصلی و ویرایشنشده از یک اسکرینشات برشخورده و/یا ویرایششده را فراهم میکند. با تشکر فراوان از @David3141593 برای کمک او از همه جهت!
بیوکانن فاش کرد که دادههای خودش از طریق این آسیبپذیری در معرض خطر است، زیرا او مالک یک گوگلپیکسل تریایکسال (3XL) است و از دیسکورد استفاده میکند.
او نوشت: «بدترین نمونه زمانی بود که من یک اسکرینشات برشخورده از ایمیل تایید سفارش «ایبی» (eBay) را پست کردم و محصولی را که بهتازگی خریداری کرده بودم نشان میداد.»
بهواسطه این اکسپلویت، من توانستم برش آن اسکرینشات را بازگردانم و آدرس پستی کامل خود را (که در ایمیل نیز وجود داشت) افشا کنم. این خیلی بد است!»