谷歌Pixel漏洞允许不良行为者撤消标记屏幕截图编辑和编辑

当谷歌开始推出安卓系统时本周早些时候的 3 月安全补丁，该公司解决了涉及 Pixel 的标记屏幕截图工具的“高”严重性漏洞。整个周末，西蒙·亚伦斯和大卫·布坎南，发现 CVE-2023-21036 的逆向工程师分享了有关该安全漏洞的更多信息，揭示了由于 Google 的监督性质，Pixel 用户的旧图像仍面临泄露的风险。

简而言之，“aCropalypse”漏洞允许有人截取在标记中裁剪的 PNG 屏幕截图，并至少撤消图像中的一些编辑。很容易想象坏人会滥用该能力的场景。例如，如果 Pixel 所有者使用 Markup 编辑了包含有关他们自己的敏感信息的图像，则有人可以利用该缺陷来泄露该信息。你可以找到技术细节布坎南的博客.

根据 Buchanan 的说法，该缺陷已经存在了大约五年，与​​ Markup 一起发布2018 年的 Android 9 Pie. 这就是问题所在。虽然 3 月的安全补丁将防止 Markup 损害未来的图像，但 Pixel 用户过去可能共享的一些屏幕截图仍然存在风险。

很难说 Pixel 用户应该对这个缺陷有多担心。根据即将发布的常见问题页面亚伦斯和布坎南分享了9to5谷歌和边缘，包括 Twitter 在内的一些网站处理图像的方式使得某人无法利用该漏洞反向编辑屏幕截图或图像。其他平台上的用户就没那么幸运了。Aarons 和 Buchanan 特别指出了 Discord，并指出聊天应用程序直到最近的 1 月 17 日更新后才修复该漏洞。目前，尚不清楚在其他社交媒体和聊天应用程序上分享的图片是否同样容易受到攻击。

谷歌没有立即回应 Engadget 的评论和更多信息请求。3 月的安全更新目前在 Pixel 4a、5a、7 和 7 Pro 上可用，这意味着标记仍然可以在某些 Pixel 设备上生成易受攻击的图像。目前尚不清楚谷歌何时会将该补丁推送至其他 Pixel 设备。如果您拥有未安装补丁的 Pixel 手机，请避免使用标记来共享敏感图像。