in het begin Maart, Google een update uitgebracht Voor vlaggenschip Pixel-smartphones om een beveiligingsprobleem te verhelpen in Markup, de standaardtool voor beeldbewerking van het apparaat. Sinds de introductie in Android 9 in 2018, laat de tool voor het bijsnijden van afbeeldingen van Markup stilletjes gegevens achter in een bijgesneden afbeeldingsbestand dat kan worden gebruikt om de originele afbeelding geheel of gedeeltelijk te reconstrueren buiten de grenzen van de uitsnede. Hoewel het nu is verholpen, is de kwetsbaarheid aanzienlijk omdat Pixel-gebruikers al jaren bijgesneden foto’s maken, en in veel gevallen zogenaamd delen, die mogelijk nog steeds de privé- of gevoelige gegevens bevatten die de gebruiker probeerde te verwijderen. Maar het wordt erger.
De bug, “aCropalypse” genaamd, werd ontdekt en oorspronkelijk aan Google voorgelegd door beveiligingsonderzoeker en student Simon Aarons, die aan het werk samenwerkte met collega-reverse engineer David Buchanan. Deze week was het tweetal stomverbaasd toen ze ontdekten dat een zeer vergelijkbare versie van de kwetsbaarheid ook bestaat in andere tools voor het bijsnijden van afbeeldingen uit een volledig aparte maar alomtegenwoordige database: Windows. Windows 11 Snipping Tool en Windows 10 Snip & Sketch zijn kwetsbaar in gevallen waarin de gebruiker een screenshot maakt, deze opslaat, de screenshot bijsnijdt en het bestand vervolgens opnieuw opslaat. Ondertussen behielden afbeeldingen die waren bijgesneden met behulp van Markup veel gegevens, zelfs wanneer de gebruiker de uitsnede toepast voordat de afbeelding voor de eerste keer werd opgeslagen.
Microsoft vertelde woensdag aan WIRED dat het “op de hoogte is van deze rapporten” en “onderzoekt”, eraan toevoegend: “we zullen indien nodig de nodige maatregelen nemen”.
“Het was echt geweldig, alsof de bliksem net twee keer was ingeslagen”, zegt Buchanan. “De oorspronkelijke Android-kwetsbaarheid was al zo verrassend dat het niet echt werd ontdekt. Het was volkomen onwerkelijk.”
Nu de beveiligingsproblemen aan het licht zijn gekomen, begonnen de onderzoekers Onthul oude discussies Op programmeerforums waar ontwikkelaars vreemd gedrag van bijsnijdhulpmiddelen hebben opgemerkt. Maar Aarons lijkt de eerste te zijn geweest die de mogelijke implicaties voor beveiliging en privacy inzag, of in ieder geval de eerste die de bevindingen aan Google en Microsoft presenteerde.
“Ik merkte het per ongeluk rond 4 uur ‘s ochtends op toen ik erachter kwam dat een klein screenshot dat ik had verzonden van witte tekst op een zwarte achtergrond een bestand van 5 MB was, wat er gewoon niet goed uitzag voor mij”, zegt Aarons.
Afbeeldingen die zijn aangetast door acropalypse kunnen vaak niet volledig worden hersteld, maar ze kunnen aanzienlijk worden gereconstrueerd. Aärons Voorbeelden verstrekt, waaronder een waarin hij zijn creditcardnummer kon achterhalen nadat hij had geprobeerd het uit een foto te knippen. Kortom, er is een reeks afbeeldingen die meer informatie bevatten dan zou moeten, met name informatie die iemand opzettelijk heeft geprobeerd te verwijderen.
Microsoft heeft nog geen fixes uitgebracht, maar zelfs de fixes die Google heeft uitgebracht, verminderen de toestand van bestaande afbeeldingsbestanden die zijn bijgesneden in jaren dat de tool nog kwetsbaar was, niet. Google wijst er echter op dat afbeeldingsbestanden die op sommige sociale media en communicatiediensten worden gedeeld, automatisch de verkeerde gegevens kunnen verwijderen.