I ricercatori di sicurezza hanno scoperto che gli screenshot acquisiti sui dispositivi Google Pixel possono essere sfruttati per accedere ai dati degli utenti, come dettagli di accesso, messaggi, foto e altre informazioni bancarie.
La patch che non risolve del tutto il problema
È stato scoperto dai reverse engineer Simon Aarons e David Buchanan e, poiché è stato corretto da Google, sfortunatamente la vulnerabilità non ha risolto il problema degli screenshot modificati condivisi online prima dell’aggiornamento. Il difetto in questione, chiamato “aCropalypse”, consente a qualcuno di ripristinare parzialmente gli screenshot PNG che sono stati modificati utilizzando lo strumento “Markup” installato di default sugli smartphone Google Pixel.
Potrebbe essere necessario ritagliare uno screenshot o sovrapporre le informazioni prima di condividerlo. Questo è spesso il caso in cui non desideri che il tuo nome, indirizzo e-mail, numero di telefono o informazioni bancarie appaiano sull’immagine in questione. Pertanto, gli hacker che utilizzano l’exploit “Acropalypse” possono annullare alcune delle modifiche che hai apportato ai tuoi screenshot per ottenere informazioni sensibili che pensavi di aver nascosto.
Esplorare Pixel 7 Pro testato, Google dà una lezione alla concorrenza
Come sottolineano Aarons e Buchanan, il difetto in questione esiste perché salva gli screenshot nella stessa posizione delle immagini modificate, senza mai eliminare l’originale. Si dice che il problema sia apparso nello stesso periodo in cui il widget Markup è stato introdotto con Android 9 Pie. La falla è ancora più preoccupante dal momento che le immagini che sono state condivise in rete per anni saranno ancora vulnerabili a questo exploit.
Alcune piattaforme evitano questo difetto, altre no.
Alcuni siti come Twitter rielaborano le immagini prima che vengano pubblicate sul social network, eliminando la vulnerabilità a questo difetto. Da parte sua, Discord ha corretto questo exploit in un aggiornamento datato 17 gennaio. Purtroppo le foto condivise sulla piattaforma prima di questa data sono ancora a rischio.
Presentazione di Acropalips: una vulnerabilità critica della privacy nello strumento di modifica degli screenshot integrato di Google Pixel, Markup, che consente il recupero parziale di dati di immagine originali e non modificati da uno screenshot ritagliato e/o ritoccato. Grazie mille @Davide3141593 per aiutarlo tutto il tempo! pic.twitter.com/BXNQomnHbr
— Simon Aarons (@ItsSimonTime) 17 marzo 2023
Come puoi vedere nell’immagine sopra, c’è una foto ritagliata di una carta di credito pubblicata su Discord. L’utente si è assicurato di nascondere il numero della carta sullo screenshot, ma Aarons è riuscito comunque a visualizzarlo sfruttando la vulnerabilità Acropalypse.
Nel gennaio 2023, Google è stato avvisato. La società ha risolto il problema nell’aggiornamento della sicurezza di marzo per i telefoni Pixel 4a, 5a, Pixel 7 e 7 Pro. Non è ancora noto quando la correzione verrà implementata su altri dispositivi Pixel.
leggere : Il ritorno di una delle maggiori minacce su Internet
Un difetto che arriva pochi giorni dopo che il team di sicurezza di Google ha scoperto un grave difetto di sicurezza. Quest’ultimo riguarda i modem Samsung Exynos di Pixel 6 e Pixel 7 e alcuni dispositivi Galaxy S22 e A53. Consente agli hacker di hackerare i dispositivi da remoto, semplicemente utilizzando il numero di telefono della vittima.
“Ninja del web professionista. Giocatore certificato. Appassionato di zombi fanatico. Fanatico del bacon a misura di hipster.”