Potremmo definirlo un po’ scherzosamente il bug della macchina del tempo ma nei fatti è semplicemente una grave falla di sicurezza (e per la privacy) dei Pixel di Google. Stiamo parlando di un problema individuato nei telefoni della casa di Sunnyvale a causa del quale è possibile annullare tutti i cambiamenti effettuati su uno screenshot vecchio anche di 4 anni, permettendo all’utente che lo ha ricevuto di vedere la versione originale.
La vulnerabilità è stata denominata “Acropalypse“, identificata nei database dedicati come CVE-2023-21036 e classificata con gravità “alta”, colpisce un editor di screenshot denominato Markup apparso nel 2018 nei telefoni Pixel di Google. Il programma dovrebbe permettere di applicare semplici modifiche, offuscare o tagliare una parte prima di condividere una immagine.
Operazione che svolge correttamente non fosse che è possibile riportare indietro l’immagine in originale cancellando ritagli e offuscamenti, con tutto ciò che questo potrebbe comportare. Ad esempio riportare alla luce dati sensibili o elementi che non si volevano rendere pubblici.
Dal punto di vista tecnico la vulnerabilità sembra essere legata alla modifica a un’API di Android 10. Lo screenshot editor di Google sovrascrive il file originale con il nuovo file ma non tronca le informazioni o ricomprime il file, aggiungendo alla fine del file informazioni che consentono di ripristinare l’immagine originale.
This is scary… Good job! @ItsSimonTime @David3141593 https://t.co/5oYYpiwA88 pic.twitter.com/A303b7Eeii
— Gary (@GaryOderNichts) March 18, 2023
Chi ha scoperto la vulnerabilità ha creato uno strumento, utilizzabile via web, per dimostrare come funziona il bug; grazie ad esso è possibile vedere cosa succede quando si provamo a “mettere a nudo” le immagini inviate, rivelando le aree ritagliate o le modifiche effettuate.
Il problema riguarda tutti i modelli Pixel dalla versione 3 alla 7; la patch è disponibile con l’aggiornamento di marzo, ma solo per i dispositivi Pixel 4a e seguenti; i precedenti continuano ad essere esposti.
La falla è stata corretta con le patch di sicurezza di marzo per Pixel 4A, Pixel 5A, Pixel 7 e 7 Pro ma non è chiaro quando (e se) arriverà un update anche per gli altri dispositivi interessati. In più, sebbene la falla ora non ci sia più, tuti gli screenshot realizzati in precedenza sono a rischio. Tenendo conto dell’anzianità del bug, non è difficile quantificare in centinaia di milioni, forse miliardi, il numero di screenshot in circolazione con informazioni recuperabili.
Se avete un telefono Pixel, è bene scaricare e installare quanto prima gli aggiornamenti; Se usate un dispositivo che non rientra tra quelli che hanno ricevuto l’aggiornamento si sicurezza è bene rivolgersi a un’app di modifica degli screenshot diversa da Markup.
Pochi giorni addietro è stata scoperta una diversa vulnerabilità, anche questa molto grave che potrebbe compromettere le informazioni riservate degli utenti.
Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione del nostro sito.
