Pixel, falla grave nella funzione di editing degli screenshot: Google rilascia il fix

Pixel, falla grave nella funzione di editing degli screenshot: Google rilascia il fix

Attraverso un semplice exploit un utente può recuperare dettagli sensibili dagli screenshot modificati con lo strumento base dei Pixel. Ecco perché questo può rappresentare un severo rischio di sicurezza

di pubblicata il , alle 12:31 nel canale Telefonia
GooglePixelAndroid
 

Un nuovo exploit chiamato "aCropalypse" è stato rilevato nella funzionalità di editing degli screenshot di default presente sui device della serie Pixel, chiamata Markup, e poi corretto da Google nelle patch Android di marzo per alcuni dispositivi. Il bug, però, rappresenta ancora oggi un problema nonostante l'aggiornamento di sicurezza rilasciato.

L'exploit sfrutta una vulnerabilità nell'OS che permette a un'applicazione malevola di scoprire parzialmente dettagli eliminati negli screenshot modificati con la funzionalità. Come descritto su Twitter da Simon Aaarons, che ha scoperto la falla insieme a David Buchanan, il bug consente a un aggressore di recuperare parte degli screenshot modificati con Markup, come ad esempio appunti che possono contenere dati sensibili (il proprio nome, indirizzo, informazioni bancarie). La vulnerabilità può consentire all'aggressore di annullare alcune delle modifiche compiute dall'utente e ottenere informazioni che gli utenti pensavano di aver nascosto. Nonostante la patch, gli screenshot modificati prima dell'installazione degli ultimi aggiornamenti di sicurezza mantengono la vulnerabilità.

Vulnerabilità sui Pixel, è possibile recuperare dettagli eliminati negli screenshot

Aarons e Buchanan hanno spiegato in una FAQ che la falla esiste perché Markup salva lo screenshot originale nella stessa posizione del file modificato senza di fatto eliminare la versione originale. Si tratta di un bug che era già emerso circa 5 anni fa quando Google introduceva Markup su Android 9 Pie, e che quindi potrebbe mettere a rischio tutti i vecchi screenshot modificati con il tool, anche quelli condivisi sulle piattaforme social potenzialmente vulnerabili all'exploit.

Alcune piattaforme, come Twitter, riprocessano le immagini ed eliminano il problema alla radice, altre non lo fanno (ad esempio Discord, prima di un aggiornamento ricevuto il 17 gennaio). Al momento purtroppo non abbiamo un elenco di siti o applicazioni che sono ancora oggi vulnerabili al problema. Aarons e Buchanan hanno segnalato il difetto (CVE-2023-21036) a gennaio, e Google ha rilasciato il fix nell'aggiornamento di sicurezza di marzo su Pixel 4A, 5A, 7 e 7 Pro, identificando il rischio della vulnerabilità come "alto". Non sappiamo quale sia l'iter di rilascio del fix per gli altri dispositivi coinvolti (da Pixel 3 in poi).

Per chi volesse verificare il bug sui propri screenshot, può farlo attraverso lo strumento rilasciato dai due ingegneri software.

1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
r134820 Marzo 2023, 15:19 #1

Ok, ma l'aggiornamento di Marzo

Ottimo sapere che c'è una vulnerabilità grave, ma l'aggiornamento di Marzo per il mio 6a dov'è? https://developers.google.com/andro...s?hl=it#bluejay

Un'IA ha licenziato il release manager?

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^