Prende il nome di “aCropalypse” la vulnerabilità presente nell’app Markup, esistente all’interno degli smartphone Google Pixel, che potrebbe rivelare informazioni sensibili dagli screenshot che vengono manualmente prodotti dagli utenti. Si tratta di un difetto di sicurezza che interessa l’utilità di modifica degli screenshot predefinita di Google Pixel, Markup, che consente alle immagini di diventare parzialmente “non modificate“, rivelando potenzialmente le informazioni personali che gli utenti hanno scelto di nascondere. La vulnerabilità, che è stata scoperta dai reverse engineer Simon Aarons e David Buchanan, da allora è stata corretta da Google ma ha ancora implicazioni diffuse per gli screenshot modificati condivisi prima dell’aggiornamento. In sintesi, il difetto giustamente chiamato “aCropalypse” consente a qualcuno di recuperare parzialmente gli screenshot PNG modificati in Markup. Ciò include scenari in cui qualcuno potrebbe aver utilizzato lo strumento per ritagliare o scarabocchiare il proprio nome, indirizzo, numero di carta di credito o qualsiasi altro tipo di informazione personale che lo screenshot potrebbe contenere.

Dunque, Aarons e Buchanan spiegano che questo difetto esiste perché Markup salva lo screenshot originale nella stessa posizione del file di quello modificato e non elimina mai la versione originale. Se la versione modificata dello screenshot è più piccola dell’originale, “la parte finale del file originale viene lasciata indietro, dopo che si suppone che il nuovo file sia terminato“. In questo esempio, il difetto di sicurezza rivela il numero della carta di credito che è stato bloccato dall’utente in Markup con una penna nera. Immagine: Simon Aarons e David Buchanan Secondo Buchanan, questo bug è emerso per la prima volta circa cinque anni fa, più o meno nello stesso periodo in cui Google ha introdotto Markup con l’aggiornamento di Android 9 Pie. Questo è ciò che rende tutto ancora peggiore, poiché anni di screenshot più vecchi modificati con Markup e condivisi su piattaforme di social media potrebbero essere vulnerabili all’exploit. La pagina delle FAQ afferma che mentre alcuni siti, incluso Twitter, rielaborano le immagini pubblicate sulle piattaforme e le privano del difetto, altri, come Discord, non lo fanno. Discord ha appena corretto l’exploit in un recente aggiornamento del 17 gennaio, il che significa che le immagini modificate condivise sulla piattaforma prima di tale data potrebbero essere a rischio. Non è ancora chiaro se ci siano altri siti o app interessati e, in tal caso, quali siano. Questo difetto è venuto alla luce pochi giorni dopo che il team di sicurezza di Google ha scoperto che i modem Samsung Exynos inclusi nei modelli Pixel 6, Pixel 7 e Galaxy S22 e A53 selezionati potevano consentire agli hacker di “compromettere da remoto” i dispositivi utilizzando solo il numero di telefono di una vittima.

In sintesi, aCropalypse consente a qualsiasi utente di acquisire uno screenshot PNG ritagliato con Markup, annullando alcune modifiche dell’immagine stessa, per riportarne delle parti non destinate alla visualizzazione. Tale vulnerabilità comporta dei rischi notevoli: mentre molte piattaforme social effettuano una vera e propria elaborazione interna dell’immagine che gli utenti caricano sui loro sistemi, altre piattaforme non modificano correttamente le immagini in upload, come ad esempio accade su Discord, quando normalmente, le piattaforme attivano una compressione definitiva dell’immagine e modifica/eliminazione dei metadati.

Visualizzazioni: 31