Pixel, falla grave nella funzione di editing degli screenshot: Google rilascia il fix

Un nuovo exploit chiamato "aCropalypse" è stato rilevato nella funzionalità di editing degli screenshot di default presente sui device della serie Pixel, chiamata Markup, e poi corretto da Google nelle patch Android di marzo per alcuni dispositivi. Il bug, però, rappresenta ancora oggi un problema nonostante l'aggiornamento di sicurezza rilasciato.

L'exploit sfrutta una vulnerabilità nell'OS che permette a un'applicazione malevola di scoprire parzialmente dettagli eliminati negli screenshot modificati con la funzionalità. Come descritto su Twitter da Simon Aaarons, che ha scoperto la falla insieme a David Buchanan, il bug consente a un aggressore di recuperare parte degli screenshot modificati con Markup, come ad esempio appunti che possono contenere dati sensibili (il proprio nome, indirizzo, informazioni bancarie). La vulnerabilità può consentire all'aggressore di annullare alcune delle modifiche compiute dall'utente e ottenere informazioni che gli utenti pensavano di aver nascosto. Nonostante la patch, gli screenshot modificati prima dell'installazione degli ultimi aggiornamenti di sicurezza mantengono la vulnerabilità.

Vulnerabilità sui Pixel, è possibile recuperare dettagli eliminati negli screenshot

Aarons e Buchanan hanno spiegato in una FAQ che la falla esiste perché Markup salva lo screenshot originale nella stessa posizione del file modificato senza di fatto eliminare la versione originale. Si tratta di un bug che era già emerso circa 5 anni fa quando Google introduceva Markup su Android 9 Pie, e che quindi potrebbe mettere a rischio tutti i vecchi screenshot modificati con il tool, anche quelli condivisi sulle piattaforme social potenzialmente vulnerabili all'exploit.

Alcune piattaforme, come Twitter, riprocessano le immagini ed eliminano il problema alla radice, altre non lo fanno (ad esempio Discord, prima di un aggiornamento ricevuto il 17 gennaio). Al momento purtroppo non abbiamo un elenco di siti o applicazioni che sono ancora oggi vulnerabili al problema. Aarons e Buchanan hanno segnalato il difetto (CVE-2023-21036) a gennaio, e Google ha rilasciato il fix nell'aggiornamento di sicurezza di marzo su Pixel 4A, 5A, 7 e 7 Pro, identificando il rischio della vulnerabilità come "alto". Non sappiamo quale sia l'iter di rilascio del fix per gli altri dispositivi coinvolti (da Pixel 3 in poi).

Per chi volesse verificare il bug sui propri screenshot, può farlo attraverso lo strumento rilasciato dai due ingegneri software.