已发现一个影响GooglePixel用户的漏洞,该漏洞可能会泄露用户最敏感的信息,并且在某些情况下可能会继续这样做。
尽管谷歌在其3月的更新中发布了CVE-2023-21036的修复程序(在新标签页中打开),该高风险漏洞一直允许黑客撤消对Pixel设备上的图像所做的许多编辑。
它特别涉及标记功能,该功能允许用户编辑照片,例如通过裁剪某些方面或在元素上应用视觉层来消除银行卡等图像中的敏感信息。
根据逆向工程师SimonAarons的说法(在新标签页中打开)和大卫·布坎南(在新标签页中打开),谁发现了这个问题,一个经过编辑的-看似安全的-图像,恶意行为者在某些情况下可以逆转此类编辑以暴露被称为“acropalypse”的漏洞中的敏感信息。
虽然我们中的许多人更喜欢通过喜欢部分或全部元数据的渠道共享图像,例如Discord,但事实证明这不太安全,从而暴露了漏洞。值得一提的是,Discord在2023年1月中旬解决了这个问题。相比之下,Twitter等平台以不同的方式处理图像,从而使编辑不可逆。
该漏洞源于与Pixel3系列重合的Android9Pie,这意味着4、5、6和最新的7型号系列据说也受到了影响。
鉴于某些设备的使用年限,目前只有Pixel4a和更新的设备会收到安全更新(在新标签页中打开)留下一些早期的模型,包括4和它之前的所有东西都没有官方支持,因此仍然容易受到攻击。
此外,在推出更新之前发送的经过编辑的屏幕截图仍然容易受到攻击,因此应尽可能删除。
谷歌发言人告诉TechRadarPro:“我们一直就此问题与安全研究人员保持定期和持续的联系”,并解释说所有受支持的设备都收到了3月的更新,但Pixel6除外,它被推迟到3月21日。