发现它的逆向工程师SimonAarons和DavidBuchanan揭示了一个安全漏洞,该漏洞允许Pixel手机上编辑过的图像部分未被编辑。
尽管此漏洞已被修补,但更新前共享的编辑后的屏幕截图仍然容易受到攻击。
这个名为“aCropalypse”的缺陷使得有人可以撤消和部分恢复使用Pixel内置标记工具编辑的PNG屏幕截图。
例如,如果有人使用该工具涂写或裁剪地址、信用卡号或银行余额等敏感信息,不法分子可能会利用此漏洞恢复这些更改,并看到发件人认为他或她已经糊涂了。
亚伦斯和布坎南解释说:
当使用标记裁剪图像时,它会将编辑后的版本保存在与原始文件相同的文件位置。但是,它不会在写入新文件之前擦除原始文件。如果新文件较小,则在新文件应该结束后,原始文件的尾部会被留下。
您可以通过转到此演示页面并上传使用未更新版本的标记工具编辑的屏幕截图来了解此漏洞的工作原理。
根据Buchanan的说法,这个漏洞大约在五年前开始出现,当时谷歌在Android9Pie中引入了Markup。
虽然漏洞已被修补,但多年来仍有易受攻击的图像仍在流传。
谷歌已在3月份针对Pixel4A、5A、7和7Pro的安全更新中修复了该漏洞,其严重程度被归类为“高”。但是,谷歌没有说明此更新是否会适用于其他设备。
Pixel用户的担心是可以理解的,据说FAQ页面正在制作中。一旦它上线,我们将使用链接更新这篇文章。