Acropalypse su dispositivi Google Pixel
Ultima modifica:
Acropalypse: riportare foto modificate al loro stato originale
Una falla nello strumento Markup di Google, permette il recupero totale, o quasi, delle immagini modificate con i cellulari Google Pixel. Le immagini impattate sono quelle modificate negli ultimi 5 anni, dall'uscita di Android 9 (Pie).
Markup è il tool di default utilizzato dai telefoni Pixel per modificare foto e screenshots, per cui è molto probabile che sia stato utilizzato anche per censurare informazioni private all'interno di immagini da inviare ad altre persone, o anche per tagliare/oscurare delle proprie foto personali, per i più disparati motivi.
La vulnerabilità è stata scoperta dai ricercatori di sicurezza Simon Aarons e David Buchanan, i quali hanno anche postato una dimostrazione di come siano riusciti a ripristinare una foto inviata su Discord e modificata con un Pixel, nel quale era stato censurato il numero di una carta di credito.
Markup è il tool di default utilizzato dai telefoni Pixel per modificare foto e screenshots, per cui è molto probabile che sia stato utilizzato anche per censurare informazioni private all'interno di immagini da inviare ad altre persone, o anche per tagliare/oscurare delle proprie foto personali, per i più disparati motivi.
La vulnerabilità è stata scoperta dai ricercatori di sicurezza Simon Aarons e David Buchanan, i quali hanno anche postato una dimostrazione di come siano riusciti a ripristinare una foto inviata su Discord e modificata con un Pixel, nel quale era stato censurato il numero di una carta di credito.
I ricercatori hanno anche postato online un utility per poter permettere ai possessori di un Pixel di verificare se proprie immagini siano effettivamente ri-convertibili al loro stato originale. Il link al tool è il seguente:
La falla nell'editor di foto è stata risolta il 13 marzo 2023 sui modelli Pixel 4a e successivi, e la vulnerabilità è stata contrassegnata con la CVE-2023-21036, ma ciò non influisce sulle vecchie foto già scattate e pubblicate, per le quali non c'è nulla da fare per poter rimediare. Il bug era dovuto al modo in cui le immagini PNG venivano aperte e successivamente salvate, causando la presenza di dati troncati all'interno di quelli della foto modificata, che era possibile ripristinare in buona parte.
Alcune piattaforme web che comprimono i media caricati su di esse potrebbero aver "mitigato" involontariamente questa falla, troncando e alterando (se non addirittura rimuovendo in toto) i dati in eccesso al momento dell'upload e rendendo così le immagini irreparabili. I ricercatori fanno notare inoltre che anche altri modelli di telefoni potrebbero risultare vulnerabili nel caso lo strumento di editing delle immagini si appoggiare a Markup.
L'articolo originale con maggiori dettagli sulla vulnerabilità è disponibile sul blog ufficiale del ricercatore:
Per vedere questo contenuto, devi Accedere o Registrarti.
La falla nell'editor di foto è stata risolta il 13 marzo 2023 sui modelli Pixel 4a e successivi, e la vulnerabilità è stata contrassegnata con la CVE-2023-21036, ma ciò non influisce sulle vecchie foto già scattate e pubblicate, per le quali non c'è nulla da fare per poter rimediare. Il bug era dovuto al modo in cui le immagini PNG venivano aperte e successivamente salvate, causando la presenza di dati troncati all'interno di quelli della foto modificata, che era possibile ripristinare in buona parte.
Alcune piattaforme web che comprimono i media caricati su di esse potrebbero aver "mitigato" involontariamente questa falla, troncando e alterando (se non addirittura rimuovendo in toto) i dati in eccesso al momento dell'upload e rendendo così le immagini irreparabili. I ricercatori fanno notare inoltre che anche altri modelli di telefoni potrebbero risultare vulnerabili nel caso lo strumento di editing delle immagini si appoggiare a Markup.
L'articolo originale con maggiori dettagli sulla vulnerabilità è disponibile sul blog ufficiale del ricercatore:
Made with ❤ for Inforge
