Cacat ‘Acropalypse’ pada alat Markup Google Pixel memungkinkan untuk memulihkan sebagian tangkapan layar dan gambar yang diedit atau disunting, termasuk yang telah dipotong atau kontennya disamarkan, selama lima tahun terakhir.
Alat Markup adalah editor gambar bawaan yang memungkinkan Anda menyunting, memotong, dan mengubah gambar pada perangkat Google Pixel.
Kerentanan tersebut ditemukan oleh peneliti keamanan Simon Aarons dan David Buchanan, yang dilaporkan di Twitter bahwa dimungkinkan untuk memulihkan informasi sensitif dari gambar yang diedit selama lima tahun terakhir menggunakan serangan yang mereka beri nama “Acropalypse”.
Aarons membagikan contoh bagaimana mereka menggunakan cacat Acropalypse untuk memulihkan foto yang diunggah ke Discord dari kartu kredit yang nomornya disunting menggunakan fitur penanda hitam alat Markup.
Setelah menjalankan foto melalui exploit Acropalypse mereka, mereka memulihkan gambar aslinya, seperti yang ditunjukkan di bawah ini.
Para peneliti juga menerbitkan Acropalypse utilitas pemulihan tangkapan layar online untuk memungkinkan pemilik Pixel menguji gambar mereka sendiri yang telah disunting dan melihat apakah gambar tersebut dapat dipulihkan.
Para peneliti melaporkan kelemahan tersebut ke Google pada Januari 2023, dan perusahaan memperbaikinya melalui pembaruan yang dirilis pada 13 Maret 2023lacak sebagai CVE-2023-21036.
Masalah dipercaya berasal dari bagaimana file gambar dibuka untuk dieditmenyebabkan data yang terpotong tertinggal dalam gambar yang disimpan dan memungkinkan kira-kira 80% dari versi aslinya dapat dipulihkan.
Kerentanan dapat mengungkap informasi sensitif yang disunting oleh pembuat gambar menggunakan alat Markup Pixel sebelum berbagi media dengan orang lain atau mempostingnya secara online.
Ini berlaku untuk posting di platform yang tidak memampatkan media yang diunggah pengguna, sehingga data sensitif, jika ada, tetap utuh.
FAQ dengan detail lebih lanjut tentang masalah ini akan segera diterbitkan di a situs web khusustetapi mereka tidak tersedia pada saat penulisan.
Buchanan mengungkapkan beberapa detail teknis tambahan tentang masalah tersebut blognya.
Tidak banyak yang bisa Anda lakukan
Meskipun Google memperbaiki masalah dalam pembaruan terbaru untuk ponsel Pixel, gambar apa pun yang dibagikan dalam lima tahun terakhir rentan terhadap serangan Acropalypse, dan tidak ada yang dapat dilakukan untuk memperbaikinya.
Karena itu, cacat tersebut dapat menimbulkan implikasi privasi yang parah bagi pengguna yang mengunggah tangkapan layar dengan informasi sensitif yang disunting menggunakan alat Markup. Ini juga dapat berdampak bagi pengguna yang membagikan foto diri mereka yang terbuka, dengan bagian tertentu dari gambar yang sebelumnya disunting, tetapi sekarang mungkin dapat dipulihkan.
Sayangnya, masalah ini memengaruhi semua model Pixel yang menjalankan Android 9 Pie dan yang lebih baru, saat alat Markup diperkenalkan, dan hingga pembaruan keamanan Februari 2023.
Perlu dicatat bahwa Google telah merilis pembaruan keamanan Maret 2023 untuk Pixel 4a, 5a, 7, dan 7 Pro dengan penundaan satu minggu karena bertepatan dengan triwulanan “Penurunan fitur piksel” dan juga penemuan 18 kelemahan zero-day pada modem Exynos yang digunakan dalam seri Pixel 6 dan 7.
Namun, kelemahan Exynos dan kerentanan Markup masih perlu diperbaiki saat menulis ini untuk Pixel 6a, 6, dan 6 Pro, karena pembaruan keamanan Maret 2023 masih perlu diluncurkan untuk model ini.
Terakhir, Acropalypse dapat memengaruhi ponsel cerdas non-Pixel yang menggunakan distribusi Android pihak ketiga yang menggunakan alat Markup untuk tangkapan layar/pengeditan gambar.
Masalah serupa dengan pemotongan reversibel baru-baru ini ditemukan di Google Documentsmemungkinkan orang dengan akses hanya lihat untuk memulihkan versi asli dari gambar yang dipotong dalam dokumen bersama.
