A principios de marzo, Google Publicó una actualización Sus teléfonos inteligentes insignia Pixel son vulnerables a Markup, la herramienta de edición de fotos predeterminada de los dispositivos. Desde su presentación en 2018 en Android 9, la herramienta de recorte de fotos de Markup ha dejado silenciosamente datos en el archivo de imagen recortada, que se puede usar para reconstruir parte o la totalidad de la imagen original más allá del límite de recorte. Aunque ahora está parcheada, la vulnerabilidad es significativa porque los usuarios de Pixel han estado creando durante años, y en muchos casos compartiendo implícitamente, imágenes recortadas que pueden contener datos personales o confidenciales que el usuario intenta eliminar. Pero se pone peor.
Apodado «aCropalypse», el error fue descubierto y enviado por primera vez a Google por el investigador de seguridad y estudiante universitario Simon Aarons, quien trabajó con el ingeniero inverso David Buchanan. La pareja quedó consternada al descubrir que existe una versión muy similar de la vulnerabilidad en otras aplicaciones de edición de fotos de Windows: una base de código completamente separada pero omnipresente. La herramienta de recorte de Windows 11 y la herramienta de recorte y boceto de Windows 10 son vulnerables en los casos en que el usuario toma una captura de pantalla, la guarda, recorta la captura de pantalla y guarda el archivo nuevamente. Mientras tanto, las fotos recortadas con Markup retuvieron el exceso de datos, incluso cuando el usuario aplicó Recortar antes de guardar la foto en primer lugar.
Ver más
Microsoft le dijo a WIRED el miércoles que estaba «al tanto de estos informes» y que estaba «investigando» y que «tomaremos medidas si es necesario».
«Fue tan alucinante, fue como si un rayo cayera dos veces», dice Buchanan. «Fue tan sorprendente que la vulnerabilidad original de Android aún no se hubiera descubierto. Fue tan surrealista».
Ahora que las vulnerabilidades están abiertas, los investigadores han comenzado Saca a relucir viejos debates. En los foros de programación, los desarrolladores notaron un comportamiento extraño de las herramientas de recorte. Pero Aaron parece haber sido el primero en reconocer las posibles implicaciones de seguridad y privacidad, o al menos el primero en llevar los hallazgos a Google y Microsoft.
«Alrededor de las 4 de la mañana, cuando descubrí que la pequeña captura de pantalla que envié era un archivo de 5 MB con texto blanco sobre un fondo negro, realmente noté que simplemente no me parecía bien», dice Aarons.
Las imágenes afectadas por acropólipos a menudo no se pueden restaurar por completo, pero se pueden reconstruir significativamente. Aarones Se dieron ejemplos, incluso cuando pudo recuperar su número de tarjeta de crédito después de intentar recortarlo de una foto. En resumen, la población de fotografías contiene más información de la que debería, en particular, información que alguien ha tratado de eliminar deliberadamente.
Microsoft aún no ha proporcionado ninguna solución, pero incluso las publicadas por Google no mitigan la situación de los archivos de imagen existentes que se recortaron hace años cuando la herramienta aún era vulnerable. Sin embargo, Google señala que los archivos de imagen compartidos en ciertas redes sociales y servicios de comunicación pueden eliminar automáticamente los datos no válidos.
“Como parte del proceso de compresión actual, las aplicaciones y los sitios web que vuelven a comprimir imágenes, como Twitter, Instagram o Facebook, eliminan automáticamente los datos adicionales de las imágenes cargadas. Las imágenes publicadas en dichos sitios no están en riesgo», dijo el portavoz de Google, Ed Fernández, en un comunicado.
Sin embargo, los investigadores señalan que esto no es cierto en todas las plataformas, incluido Discord.
Como usuaria de Discord, Buchanan dice que constantemente veía a personas publicando capturas de pantalla recortadas y le resultaba muy difícil no decir nada antes de que la vulnerabilidad se revelara públicamente.
Steven Murdoch, profesor de ingeniería de defensa en el University College London, señala un descubrimiento de 2004. impacto En el que la versión anterior de una imagen se almacena en datos en miniatura de la imagen, incluso después de que se haya convertido.
«No es la primera vez que veo este tipo de vulnerabilidad», dice Murdoch. «Y creo que es porque cuando se escribe el software, se prueba para asegurarse de que tiene lo que espera. Puede guardar una imagen, abrir la imagen y listo. No se verifica para ver si se almacenan datos adicionales accidentalmente. .
La vulnerabilidad en miniatura que Murdoch descubrió en 2004 era conceptualmente similar a aCropalypse desde el punto de vista de la privacidad de los datos, pero tenía fundamentos técnicos muy diferentes debido a problemas con el diseño de la interfaz de programación de aplicaciones. Y aunque ve a Cropalypse como un problema para los usuarios cuyas fotos ya han sido expuestas al mundo, Murdoch insiste en que su mayor impacto puede provenir de los debates que genera sobre cómo promover las mejores prácticas de seguridad en el desarrollo e implementación de API.
«Ha provocado algunas conversaciones interesantes sobre el diseño de API y ¿qué se hace para educar a las personas para evitar este tipo de vulnerabilidades en el futuro? No capacitamos a las personas para lidiar con esto», dice Murdoch. «No es uno de esos efectos de ‘el cielo se está cayendo’, pero no es bueno».
