Google 為 Pixel 手機補上了擷圖標記可能被撤銷的漏洞
但過去數年用標記工具處理過的圖像仍存在外洩隱私的風險。
在日前上線的 Android 三月更新中,Google 解決了一個涉及 Pixel 手機擷圖標記工具的「高危」漏洞。根據發現者 Simon Aarons 和 David Buchanan 的說法,駭客可利用這個「裁切末日」(aCropalypse)級別的漏洞,擷取 Pixel 標記工具裡的裁切圖像並撤銷至少部分編輯操作。透過這種方法,心懷不軌者就可能取得用戶想要隱去的敏感資訊。
在三月更新推出後,未來你在使用標記工具時倒是不用再擔心這個問題。但 Aarons 和 Buchanan 指出過去數年經此方法處理過的圖像仍有外洩隱私的風險,因為漏洞可能已經存在了大約五年。在分享給 9to5Google 和 The Verge 的 FAQ 內容中,他們提到 Twitter 的圖像處理機制應該能杜絕圖像被反向編輯的可能性。但其它平台的用戶就未必有那麼幸運,尤其是 Discord 是直到 1 月 17 日的更新後才對該漏洞採取了針對性的措施。
目前已有的 Android 三月更新適用於 Pixel 7、7 Pro、5a 和 4a,尚不清楚 Google 會在何時將補丁推送給其它機種。如果你的裝置還沒升級的話,請避免使用標記工具來處理敏感圖片。
Introducing acropalypse: a serious privacy vulnerability in the Google Pixel's inbuilt screenshot editing tool, Markup, enabling partial recovery of the original, unedited image data of a cropped and/or redacted screenshot. Huge thanks to @David3141593 for his help throughout! pic.twitter.com/BXNQomnHbr
— Simon Aarons (@ItsSimonTime) March 17, 2023