Pixel Markup, una vulnerabilità consente di annullare modifiche a screenshot condivisi

Pixel Markup, una vulnerabilit consente di annullare modifiche a screenshot condivisi

20 Marzo 2023 0

Immaginate di fare uno screenshot del vostro display e di offuscarne o tagliarne una parte, prima di inviarlo a qualcuno, per nascondere dei dati sensibili o cose che non volete comunque mostrare. Immaginate ora che un malintenzionato riesca ad annullare tutti i cambiamenti che avete effettuato allo screenshot entrando in possesso delle informazioni che pensavate di aver nascosto.

UN PROBLEMA PRESENTE DA ANNI

"aCropalypse", questo è il nome della vulnerabilità scoperta lo scorso gennaio da due reverse engineer, Simon Aarons e David Buchanan, nell'app Markup dei Google Pixel. Dopo la segnalazione, la società di Mountain View ha identificato la vulnerabilità con la sigla CVE-2023-21036, classificandola con gravità "alta", e l'ha corretta con le patch di sicurezza di marzo per Pixel 4A, Pixel 5A, Pixel 7 e 7 Pro. Non è ancora chiaro quando arriverà un aggiornamento anche per gli altri dispositivi interessati.

Tuttavia, ci sarebbero ancora delle implicazioni in tutti gli screenshot modificati e condivisi dagli utenti prima del rilascio di questo aggiornamento, specialmente quelli presenti su alcune piattaforme social. E pare che non siano affatto pochi. Questo bug, infatti, sarebbe presente in Markup fin dal suo esordio con Android 9 Pie, cinque anni fa. Facile immaginare quanti possono essere gli screenshot vulnerabili.

COME FUNZIONA LA VULNERABILIT

Secondo i due ingegneri, il problema negli screenshot si manifestava perché la versione modificata e condivisa conservava ancora tutte le informazioni. Alcune piattaforme social, tra cui Twitter, comunque rielaborano le immagini pubblicate, privandole delle informazioni non necessarie. Altre no. Discord, ad esempio, avrebbe iniziato a farlo solo dopo un recente aggiornamento e al momento non ci sono informazioni sul comportamento di altre piattaforme.