Google që atëherë ka korrigjuar dobësinë e Markup, por kjo nuk ka efekt në pamjet e redaktuara të ekranit të shpërndara në internet përpara përditësimit.
Një e metë sigurie që ndikon në mjetin e paracaktuar të redaktimit të pamjeve të ekranit të Google Pixel, Markup, lejon që imazhet të bëhen pjesërisht të “paredaktuara”, duke zbuluar potencialisht informacionin personal që përdoruesit zgjodhën të fshehin, siç u vu re më herët nga 9to5Google dhe Android Police. Dobësia, e cila u zbulua nga inxhinierët e kundërt Simon Aaarons dhe David Buchanan, që atëherë është rregulluar nga Google, por ende ka implikime të gjera për pamjet e redaktuara të ekranit të shpërndara përpara përditësimit.
Siç detajohet në një temë të postuar Aaarons në Twitter, e meta e quajtur me vend “aCropalypse” bën të mundur që dikush të rikuperojë pjesërisht pamjet e ekranit PNG të redaktuara në Markup. Kjo përfshin skenarë ku dikush mund të ketë përdorur mjetin për të prerë ose shkarravitur emrin, adresën, numrin e kartës së kreditit ose çdo lloj informacioni tjetër personal që mund të përmbajë pamja e ekranit. Një aktor i keq mund ta shfrytëzojë këtë dobësi për të ndryshuar disa nga ato ndryshime dhe për të marrë informacionin që përdoruesit mendonin se kishin fshehur.
Në një faqe të ardhshme FAQ të marrë herët nga 9to5Google, Aarons dhe Buchanan shpjegojnë se kjo e metë ekziston sepse Markup ruan pamjen origjinale të ekranit në të njëjtin vendndodhje të skedarit me atë të redaktuar dhe nuk e fshin kurrë versionin origjinal. Nëse versioni i redaktuar i pamjes së ekranit është më i vogël se origjinali, “pjesa pasuese e skedarit origjinal mbetet pas, pasi skedari i ri supozohet të ketë përfunduar”.
Sipas Buchanan, ky gabim u shfaq për herë të parë rreth pesë vjet më parë, afërsisht në të njëjtën kohë që Google prezantoi Markup me përditësimin Android 9 Pie. Kjo është ajo që e bën këtë edhe më keq, pasi pamjet më të vjetra të ekranit të redaktuara me Markup dhe të shpërndara në platformat e mediave sociale mund të jenë të cenueshme ndaj shfrytëzimit.
Faqja e FAQ thotë se ndërsa disa sajte, përfshirë Twitter-in, i ripërpunojnë imazhet e postuara në platforma dhe i heqin ato nga të metat, të tjerat, si Discord, nuk e bëjnë këtë. Discord sapo e korrigjoi shfrytëzimin në një përditësim të fundit të 17 janarit, që do të thotë se imazhet e redaktuara të shpërndara në platformë përpara asaj date mund të jenë në rrezik. Ende nuk është e qartë nëse ka ndonjë sajt apo aplikacion tjetër të prekur dhe nëse po, cilat janë ato.
Shembulli i postuar nga Aarons (i ngulitur më lart) tregon një imazh të prerë të një karte krediti të postuar në Discord, e cila gjithashtu ka numrin e kartës të bllokuar duke përdorur stilolapsin e zi të mjetit Markup. Pasi Aarons shkarkon imazhin dhe shfrytëzon dobësinë e aCropalypse, pjesa e sipërme e imazhit korruptohet, por ai mund të shohë ende pjesët që janë redaktuar në Markup, duke përfshirë numrin e kartës së kreditit. Mund të lexoni më shumë rreth detajeve teknike të defektit në postimin në blog të Buchanan.
Pasi Aarons dhe Buchanan raportuan defektin (CVE-2023-21036) në Google në janar, kompania e rregulloi problemin në një përditësim sigurie të marsit për Pixel 4A, 5A, 7 dhe 7 Pro me ashpërsinë e tij të klasifikuar si “i lartë”. Është e paqartë se kur do të arrijë ky përditësim për pajisjet e tjera të prekura nga dobësia dhe Google nuk iu përgjigj menjëherë kërkesës së The Verge për më shumë informacion. Nëse dëshironi të shihni se si funksionon problemi për veten tuaj, mund të ngarkoni një pamje ekrani të redaktuar me një version të pa përditësuar të mjetit Markup në këtë faqe demo të krijuar nga Aarons dhe Buchanan. Ose, mund të shikoni disa nga shembujt e frikshëm të postuar në ueb.
Kjo e metë doli në dritë vetëm disa ditë pasi ekipi i sigurisë i Google zbuloi se modemet Samsung Exynos të përfshira në modelet Pixel 6, Pixel 7 dhe të zgjedhura Galaxy S22 dhe A53 mund t’i lejojnë hakerat të “kompromisojnë në distancë” pajisjet duke përdorur vetëm numrin e telefonit të viktimës. Google që atëherë e ka rregulluar problemin në përditësimin e tij të marsit, megjithëse kjo ende nuk është ende e disponueshme për pajisjet Pixel 6, 6 Pro dhe 6A.
