Новости
В Google Pixel и Windows Snipping Tool есть возможность восстановления обрезанных изображений

В Google Pixel и Windows Snipping Tool есть возможность восстановления обрезанных изображений

Найдена уязвимость в смартфонах Google Pixel и в приложении Windows "Ножницы", которая позволяет злоумышленнику получить "вырезанный" контент или скрытое содержание.

На самом деле, данная уязвимость есть в библиотеке Markup, которая и используется в вышеописанных и не только приложениях. Да... и вновь гиганты IT оказываются на "глиняных ногах" стороннего софта. На самом деле, не только они. Просто так сейчас выглядит разработка – дешевле купить либу + адаптироваться к ней, чем писать новое "с нуля".

И да, это справедливо и для Google, и для Microsoft (Windows) и для многих прочих гигантов IT индустрии.

Суть уязвимости довольно проста

  • Вы редактируете изображение (скриншот – снимок экрана).
  • Markup действительно пересобирает изображение под ваши запросы.
  • Markup пишет результат в то же место, откуда оно было взято.

Всё логично + экономично! Но, как говорится, есть один нюанс...

Исходное PNG изображение (его файл) перезаписывается новым, но оставшиеся данные (те что были до кропа) не стираются, а просто должны не учитываться исходя их "правил" формата PNG. Но мы все понимаем, что если есть физическая возможность, правила не особо работают для хакеров и иных структур.

В результате из скриншота коллеги, присланного вам по мессенджеру, где вырезано маленькое сообщение и замазан отправитель, вы можете восстановить несколько сообщений переписки.

Присланное фото карты с замазанным CVV внезапно становится фото с полной информацией...

Это только Google?

Видел несколько новостей, где всё вышесказанное сыпалось только на гугл-фоны с 2018-го года. Да, стоит сказать, что уязвимость подтверждена на телефонах от Гугл с Google Pixel 3 от 2018 года. И в обновлении марта 2023-го устранена...

Но это далеко не только GooGle, аналогично также работает и в "Ножницах" Windows.

И что в итоге?

Ничего нового – переиспользование кода (DRY) ведёт не только к ускорению разработки, но и к копированию ошибок. + думаю, что велик поток разработчиков как их Microsoft в Google, так и наоборот.

Поработают, выгорят, мальдивы, следующий IT-гигант. При этом тащат старый код (мб и не кража, просто "переизобретают" старый подход) – так зараза распространяется по "миру".

Если что, проверить изображения можно на acropalypse.app