Na początku marca Google wydało aktualizację dla swoich flagowych smartfonów Pixel, aby załatać lukę w domyślnym narzędziu do edycji zdjęć urządzeń, Markup. Od czasu wprowadzenia w 2018 roku w systemie Android 9 narzędzie do przycinania zdjęć firmy Markup po cichu pozostawiało dane w pliku przyciętego obrazu, którego można było użyć do zrekonstruowania części lub całości oryginalnego obrazu poza granicami kadrowania. Chociaż została już naprawiona, luka jest znacząca, ponieważ użytkownicy Pixela od lat tworzą, aw wielu przypadkach prawdopodobnie udostępniają, przycięte obrazy, które mogą nadal zawierać prywatne lub poufne dane, które użytkownik próbował wyeliminować. Ale jest coraz gorzej.
Błąd, nazwany „aCropalypse”, został odkryty i pierwotnie przesłany do Google przez badacza bezpieczeństwa i studenta Simona Aaronsa, który współpracował przy pracy z innym inżynierem wstecznym, Davidem Buchananem. Para była oszołomiona, gdy w tym tygodniu odkryła, że bardzo podobna wersja luki występuje również w innych narzędziach do kadrowania zdjęć z całkowicie oddzielnej, ale równie wszechobecnej bazy kodu: systemu Windows. Narzędzie Wycinanie systemu Windows 11 oraz narzędzie Wycinanie i szkicowanie systemu Windows 10 są podatne na ataki w przypadkach, gdy użytkownik robi zrzut ekranu, zapisuje go, przycina zrzut ekranu, a następnie ponownie zapisuje plik. Tymczasem zdjęcia przycięte za pomocą znaczników zachowywały zbyt wiele danych, nawet jeśli użytkownik zastosował przycięcie przed pierwszym zapisaniem zdjęcia.
Microsoft powiedział WIRED w środę, że jest „świadomy tych raportów” i że „prowadzi dochodzenie”, dodając, że „podejmiemy działania w razie potrzeby”.
„To było naprawdę oszałamiające, jakby piorun uderzył dwa razy” — mówi Buchanan. „Pierwotna luka w zabezpieczeniach Androida była już na tyle zaskakująca, że nie została jeszcze odkryta. To było dość surrealistyczne”.
Teraz, gdy luki zostały ujawnione, badacze zaczęli odkrywać stare dyskusje na forach programistycznych, w których programiści zauważyli dziwne zachowanie narzędzi do przycinania. Wydaje się jednak, że Aarons był pierwszym, który rozpoznał potencjalne implikacje dla bezpieczeństwa i prywatności — a przynajmniej pierwszym, który przedstawił swoje ustalenia Google i Microsoft.
„Właściwie zauważyłem to około czwartej nad ranem przez całkowity przypadek, kiedy zauważyłem, że wysłany przeze mnie mały zrzut ekranu z białym tekstem na czarnym tle był plikiem o wielkości 5 MB i nie wydawało mi się to właściwe” — mówi Aarons.
Obrazy dotknięte przez aCropalypse często nie mogą być całkowicie odzyskane, ale można je zasadniczo zrekonstruować. Aarons podane przykłady, w tym jeden, w którym udało mu się odzyskać numer swojej karty kredytowej po tym, jak próbował wykadrować go ze zdjęcia. Krótko mówiąc, istnieje populacja zdjęć, które zawierają więcej informacji niż powinny — w szczególności informacje, które ktoś celowo próbował usunąć.
Microsoft nie wydał jeszcze żadnych poprawek, ale nawet te wydane przez Google nie łagodzą sytuacji istniejących plików graficznych przyciętych w latach, kiedy narzędzie było nadal podatne na ataki. Google zwraca jednak uwagę, że pliki graficzne udostępniane w niektórych mediach społecznościowych i usługach komunikacyjnych mogą automatycznie usuwać błędne dane.
