Cuando Google comenzó a implementar su parche de seguridad de Android de marzo a principios de esta semana, la compañía corrigió una vulnerabilidad de «gravedad alta» relacionada con la herramienta de captura de pantalla Pixel Markup. Durante el fin de semana, Simon Aarons y David Buchanan, los ingenieros inversos que descubrieron CVE-2023-21036, compartieron más información sobre la vulnerabilidad de seguridad, lo que demuestra que los usuarios de Pixel aún corren el riesgo de que sus imágenes antiguas se vean comprometidas debido a la naturaleza de la supervisión de Google. .
En resumen, la falla «aCropalypse» permitió a alguien tomar una captura de pantalla PNG recortada en el marcado y deshacer al menos algunos cambios en la imagen. Es fácil imaginar escenarios en los que un atacante podría abusar de esta capacidad. Por ejemplo, si el propietario de un píxel usó el marcado para editar una imagen que contenía información confidencial sobre él, alguien podría aprovechar esta vulnerabilidad para exponer esa información. Los detalles técnicos se pueden encontrar en el blog de Buchanan.
Presentamos Acrocalypse: una grave vulnerabilidad de privacidad en la herramienta de edición de capturas de pantalla integrada de Google Pixel, Markup, permite la restauración parcial de los datos de imagen originales sin editar de una captura de pantalla recortada y/o editada. ¡Muchas gracias a @David3141593 por la ayuda! pic.twitter.com/BXNQomnHbr
— Simon Aarons (@ItsSimonTime) 17 de marzo de 2023
La vulnerabilidad ha existido durante unos cinco años, dijo Buchanan, coincidiendo con el lanzamiento de Markup junto con Android 9 Pie en 2022. Y ahí radica el problema. Si bien el parche de seguridad de marzo evitará que las imágenes se vean comprometidas en el futuro, algunas capturas de pantalla que los usuarios de Pixel pueden haber compartido en el pasado aún están en riesgo.
Es difícil decir qué tan preocupados deberían estar los usuarios de Pixel por esta deficiencia. De acuerdo con una próxima página de preguntas frecuentes que Aarons y Buchanan compartieron con 9to5Google y The Verge, algunos sitios web, incluido Twitter, procesan las imágenes de tal manera que nadie puede explotar la vulnerabilidad para editar una captura de pantalla o una imagen. Los usuarios de otras plataformas no tienen tanta suerte. Aarons y Buchanan apuntan específicamente a Discord y señalan que la aplicación de chat no solucionó el exploit hasta una actualización reciente del 17 de enero. En este momento, no está claro si las imágenes publicadas en otras redes sociales y aplicaciones de chat siguen siendo vulnerables.
Google no respondió de inmediato a la solicitud de comentarios y más información de SocialRed. La actualización de seguridad de marzo está disponible actualmente para Pixel 4a, 5a, 7 y 7 Pro, lo que significa que el marcado aún puede crear imágenes vulnerables en algunos dispositivos Pixel. Aún no está claro cuándo Google lanzará el parche a otros dispositivos Pixel. Si tiene un teléfono Pixel sin parches, evite usar marcas para compartir imágenes confidenciales.
