聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

研究人员在谷歌Pixel 编辑器工具Markup 中发现了一个漏洞，可部分恢复已编辑或修改的截屏和图片，包括过去五年来所编辑或打码的内容。

Markup 是一款内置的图像编辑器，可使用户在谷歌Pixel 设备上编辑、裁剪以及更改图片。该漏洞是由安全研究员 Simon Aarons 和 David Buchanan 发现的，他们在推特上表示可以通过“Acropalypse” 攻击恢复过去五年来所编辑图片中的敏感信息。

Aarons 举例说明了他们如何使用Acropalypse漏洞恢复上传到Discord平台上的信用卡信息，而该信用卡卡号已经通过Markup工具的黑色标记特性进行了编辑涂改。研究人员还发布了Acropalypse 截屏恢复在线工具，使得Pixel机主能够测试已编辑图片，查看这些图片是否是可恢复的。

研究人员在2023年1月将该漏洞告知谷歌，后者已经在2023年3月13日发布更新，该漏洞的编号为CVE-2023-21036。该漏洞源自图片文件打开进行编辑的方式，可导致被截断的数据遗留在已保存图片中，并导致约80%的原始版本可恢复。该漏洞可泄露图像创建者使用Markup工具编辑的敏感信息。这些图片会上传到不会压缩用户所上传媒介的平台上，因此这些敏感信息仍然是完整的。

谷歌之后将在专门网站上发布更多详情。研究人员在博客上还发布了更多细节。

用户能做的不多

尽管谷歌最近发布更新，修复了Pixel 手机中的漏洞，但在过去五年中共享的图片仍然受 Acropalypse 攻击，而且不存在任何补救措施。

鉴于此，该漏洞可能会对上传了包含敏感信息的通过Markup截屏的用户带来严重的隐私问题。它同时也会对共享自己照片的用户造成影响，因为此前图片的某些部分可能是被编辑过的但现在很可能是可恢复的。

遗憾的是，该漏洞影响运行安卓9 Pie及后续所有版本。值得注意的是谷歌已经在三月份为Pixel 4a、5a、7和7 Pro 发布了安全更新，不过比原计划推迟一周，正好与季度“Pixel特性释放”和18个Exynos 0day漏洞（影响Pixel 6和7系列）时间重合。不过，Exynos 漏洞和Markup漏洞仍然需要在Pixel 6a、6和 6 Pro中修复，因为2023年的安全更新仍然没有发布这些版本的更新。

另外，Acropalypse 攻击还影响使用第三方安卓发行版本的非 Pixel 智能手机，这些手机使用Markup 工具编辑截屏/图片。类似问题也发生在Google Docs中，可导致具有只读权限的用户恢复共享文档中已编辑图片的原始版本。

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

奇安信入选全球《软件成分分析全景图》代表厂商

偶然发现谷歌Pixel手机锁屏漏洞，获奖7万美元

谷歌宣布 Pixel Titan M 芯片漏洞奖励计划，最高150万美元

无需指纹、闭眼也能解锁的谷歌 Pixel 4，你敢用吗？

研究员发现谷歌 Pixel 手机远程利用链 获逾10万美元奖励

原文链接

https://www.bleepingcomputer.com/news/security/google-pixel-flaw-allowed-recovery-of-redacted-cropped-images/

题图：Pexels License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~