يقول الباحثون إن aCropalypse Flaw يسمح باستعادة البيانات الحساسة التي تمت إزالتها من لقطات شاشة البكسل


تأثرت هواتف Pixel الذكية سابقًا بخلل أمني قد يسمح لأي مستخدم باستعادة التفاصيل الحساسة التي تم اقتصاصها أو حذفها من لقطات الشاشة ، وفقًا للبيانات التي شاركها باحثو الأمن. سمح عيب أمني في أداة ترميز Google للهواتف الذكية Pixel لصور لقطة الشاشة التي تم تعديلها بالاحتفاظ ببعض المعلومات الأصلية ، مما يسمح للمستخدمين باستعادة التفاصيل التي كان المرسل قد حجبها في السابق. تم الآن تصحيح الثغرة الأمنية ، التي كانت موجودة منذ عدة سنوات ، بواسطة Google على هواتف Pixel المدعومة حاليًا.

اكتشف الباحثان الأمنيان Simon Aarons و David Buchanan ثغرة أمنية يطلق عليها اسم aCropalypse ، والتي تؤثر على أداة الترميز المستخدمة لاقتصاص لقطات الشاشة وتعديلها وإبرازها على هواتف Pixel. وفقًا للتفاصيل التي شاركها Buchanan ، أدخل Android 10 بعض التغييرات على النظام التي تسببت في بقاء البيانات التي تم تحريرها من لقطة الشاشة في الصورة. ونتيجة لذلك ، يمكن استعادة هذه البيانات من قبل أي مستخدم تلقى الصورة ، بما في ذلك الغرباء على الإنترنت.

في موضوع على Twitter ، أوضح آرونز كيف تعمل ثغرة aCropalypse باستخدام صورة أرسلها إلى مستخدم Discord Retr0id باستخدام تطبيق الاتصال الشهير. يظهر أنه تم تنزيل صورة بطاقة ائتمان تم اقتصاصها وتنقيحها باستخدام أداة “القلم الأسود” ، ثم تخضع لعملية استرداد تؤدي إلى صورة غير مقصوصة لموقع ويب بنك مزيف بنفس بطاقة الائتمان ، إلى جانب رقمه مرئي.

وفقًا لـ Aarons ، إذا كانت لقطة الشاشة المحررة بتنسيق PNG تحتوي على حجم ملف أصغر ، كما هو الحال مع العديد من الصور التي تم اقتصاصها ، فإن “الجزء اللاحق من الملف الأصلي يُترك ، بعد أن يُفترض أن ينتهي الملف الجديد”. ويضيف أنه يمكن بعد ذلك استرداد هذا الجزء اللاحق من الملف. نشر الباحث أيضًا أداة توضح كيفية عمل ثغرة aCropalypse ، مما يسمح للمستخدمين بتحميل لقطة شاشة لمحاولة استرداد الملف الأصلي.

وفي الوقت نفسه ، يشير تقرير 9to5Google الذي يستشهد بإصدار وصول مبكر لصفحة الأسئلة الشائعة للثغرة الأمنية ، إلى أنه ليست كل الصور التي تتم مشاركتها عبر الإنترنت تتأثر بالصورة. تقوم بعض الأنظمة الأساسية ، مثل Twitter ، بمعالجة جميع الصور التي تم تحميلها بطريقة لا تتأثر بخلل أمان aCropalypse. ومع ذلك ، على منصات مثل Discord التي تشارك الصور كما هي ، يمكن أن يتأثر المستخدمون الذين شاركوا لقطات شاشة باستخدام هواتفهم الذكية Pixel منذ Android 10 بالثغرة الأمنية.

يمكن لمالكي Pixel 4a و Pixel 5a و Pixel 7 و Pixel 7 Pro التحديث إلى أحدث إصدار أمني لشهر مارس لتثبيت إصلاح أمني للعيب (CVE-2023-21036) الذي يحتوي على تصنيف “عالي الخطورة” ، مثل في التقرير. ومع ذلك ، لا توجد أي معلومات من Google حول موعد تلقي هواتف Pixel المدعومة الأخرى الإصلاحات ، أو ما إذا كانت الشركة ستقوم بتحديث هواتف Pixel التي لم تعد تتلقى تحديثات البرامج مع إصلاح للعيوب.


بعد مواجهة رياح معاكسة في الهند العام الماضي ، تستعد شركة Xiaomi لخوض المنافسة في عام 2023. ما هي خطط الشركة لمحفظة منتجاتها الواسعة والتزامها “Make in India” في الدولة؟ نناقش هذا وأكثر على Orbital ، بودكاست Gadgets 360. يتوفر Orbital على Spotify و Gaana و JioSaavn و Google Podcasts و Apple Podcasts و Amazon Music وفي أي مكان تحصل فيه على البودكاست الخاص بك.
قد يتم إنشاء روابط الشركات التابعة تلقائيًا – راجع بيان الأخلاقيات الخاص بنا للحصول على التفاصيل.




اكتشاف المزيد من مجلة الإخلاص

اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.

Comments

No comments yet. Why don’t you start the discussion?

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *