Aunque Google ha parcheado el defecto de marcado, las capturas de pantalla actualizadas no reflejan los cambios de la versión original.
Los usuarios del Google Pixel pueden tener su información privada expuesta debido a una falla de seguridad en la utilidad de alteración de captura de pantalla principal del dispositivo, Marcup, según lo informado por 9to5Google y Android. Simon Aaarons y David Buchanan descubrieron la falla, y Google lo ha parchado, pero los hallazgos tienen implicaciones de gran alcance para las imágenes de pantalla manipuladas que se compartieron ampliamente antes de la actualización.
Según un hilo de Twitter compartido por el usuario Aaarons, el defecto apropiado apropiado "Acropalypse" permite la recuperación parcial de capturas de pantalla PNG modificadas en el marcado. Esto incluye casos en los que un usuario puede haber alterado o escrito en una captura de pantalla para ocultar información confidencial, como su nombre, ubicación, número de visa o detalles de la cuenta bancaria. Un atacante podría usar este defecto para deshacer algunas de las modificaciones realizadas y recuperar información que los clientes creían que habían ocultado.
En una página de FAQ que pronto se publicará, 9to5Google pudo predecir con precisión que Aarons y Buchanan explicarían este defecto explicando cómo el marcado almacena la imagen de la pantalla original en la misma área de registro que la modificada y nunca elimina el original. Si la versión modificada de la captura de pantalla es más pequeña que la original, "la parte posterior del primer documento está abandonada, después de que el nuevo registro debería haber terminado".
Según Buchanan, este problema surgió por primera vez hace mucho tiempo, justo cuando Google lanzó el marcado para Android 9 Pie. Lo que empeora las cosas es que los años de capturas de pantalla más establecidas alteradas con marcado y compartido a través de etapas de entretenimiento virtual pueden estar indefensos contra el esfuerzo.
Algunos sitios, como Twitter, reprocesan las imágenes cargadas en las etapas y eliminan el defecto antes de que se muestren públicamente; Sin embargo, algunos sitios, como la fricción, no. Debido a un error que la fricción solo logró parchear en una actualización lanzada el 17 de enero, cualquier foto editada cargada en la plataforma antes de esa fecha puede estar en riesgo. Hasta el momento, no está claro si otras áreas o aplicaciones también se ven afectadas, y de ser así, cuáles.
El ejemplo de Aarons (incluido) demuestra cómo usar la pluma oscura del dispositivo de marcado para oscurecer un número de tarjeta de crédito de una foto de una tarjeta de visa publicada en la disensión. Cuando Aarons usa la falla AcropalyPse para descargar la imagen, la parte superior de la imagen está dañada, pero todavía puede ver las partes de la imagen que se bloquearon en el marcado, incluida la información de la tarjeta de crédito. La publicación del blog de Buchanan entra en más detalles sobre los matices técnicos de la falla.
El defecto (CVE-2023-21036) fue descrito por Aarons y Buchanan en enero, y luego fue parcheado en una actualización de seguridad para caminar para el píxel 4A, 5A, 7 y 7 ACE con una calificación de gravedad "alta". Aunque el borde ha solicitado más información de los investigadores, no está claro cuándo esta solución estará disponible para los diversos dispositivos vulnerables a la falla. Transferir una captura de pantalla modificada con una versión anterior de la herramienta de marcado a este sitio web de demostración creado por Aarons y Buchanan le dará una buena idea de cómo funciona el problema por sí solo. Por el contrario, se encuentran algunas versiones realmente aterradoras en Internet.
Días después del equipo de seguridad de Google descubrió que ciertos módems de Samsung Exynos utilizados en los modelos Pixel 6, Pixel 7 y ciertos modelos del sistema S22 y A53 podrían permitir a los piratas informáticos "dividir remotamente la diferencia" dispositivos usando solo el número de teléfono de una víctima, este defecto se hizo evidente. Desde entonces, el problema se ha resuelto en la última versión de la actualización de Walk de Google, aunque actualmente no está disponible para los dispositivos Pixel 6, 6 Master y 6A.