اشکال در نشانه گذاری گوگل، ابزارهای برش عکس ویندوز داده های تصویر حذف شده را در معرض نمایش قرار می دهد

از


در آغاز در ماه مارس، گوگل به‌روزرسانی‌ای را برای گوشی‌های هوشمند پیکسل خود منتشر کرد تا آسیب‌پذیری را در ابزار پیش‌فرض ویرایش عکس، Markup، برطرف کند. از زمان معرفی سال ۲۰۱۸ در اندروید ۹، ابزار برش عکس Markup به آرامی داده‌ها را در یک فایل تصویری برش‌خورده باقی می‌گذارد که می‌توان از آن برای بازسازی بخشی یا تمام تصویر اصلی فراتر از محدودیت‌های برش استفاده کرد. اگرچه اکنون برطرف شده است، اما این آسیب‌پذیری قابل توجه است زیرا کاربران پیکسل سال‌ها است که تصاویر برش‌خورده‌ای می‌سازند و در بسیاری از موارد احتمالاً به اشتراک می‌گذارند که ممکن است همچنان حاوی داده‌های خصوصی یا حساسی باشد که کاربر سعی در حذف آنها داشته است. اما بدتر می شود.

این اشکال که “aCropalypse” نام دارد، توسط محقق امنیتی و دانشجوی کالج سایمون آرونز، که در کار با همکار مهندس معکوس دیوید بوکانن همکاری داشت، کشف و در ابتدا به گوگل ارسال شد. این زوج از کشف این که یک نسخه بسیار مشابه از این آسیب‌پذیری در سایر ابزارهای برش عکس از یک پایگاه کد کاملاً مجزا و در عین حال به همان اندازه همه‌جانبه: Windows وجود دارد، شگفت‌زده شدند. Windows 11 Snipping Tool و Windows 10 Snip & Sketch tool در مواردی آسیب پذیر هستند که کاربر اسکرین شات می گیرد، آن را ذخیره می کند، اسکرین شات را برش می دهد و سپس فایل را دوباره ذخیره می کند. در همین حال، عکس‌هایی که با Markup برش داده شده‌اند، حتی زمانی که کاربر قبل از ذخیره کردن عکس، برش را اعمال می‌کند، داده‌های زیادی را حفظ می‌کنند.

مایکروسافت روز چهارشنبه به WIRED گفت که “از این گزارش ها آگاه است” و در حال “تحقیق” است و افزود: “در صورت نیاز اقدام خواهیم کرد.”

بوکانان می‌گوید: «واقعاً بسیار حیرت‌انگیز بود، انگار صاعقه دو بار زده بود. آسیب‌پذیری اصلی اندروید قبلاً به اندازه کافی شگفت‌انگیز بود که قبلاً کشف نشده بود. کاملا سورئال بود.»

اکنون که آسیب‌پذیری‌ها آشکار شده‌اند، محققان شروع به کشف بحث‌های قدیمی در انجمن‌های برنامه‌نویسی کرده‌اند که در آن توسعه‌دهندگان متوجه رفتارهای عجیب ابزارهای برش شده‌اند. اما به نظر می‌رسد آرون اولین کسی بود که پیامدهای بالقوه امنیت و حریم خصوصی را تشخیص داد – یا حداقل اولین کسی بود که این یافته‌ها را به گوگل و مایکروسافت رساند.

آرونز می‌گوید: «در واقع حدود ساعت 4 صبح به طور کاملاً تصادفی متوجه آن شدم، وقتی متوجه شدم که یک اسکرین‌شات کوچک که از متن سفید روی پس‌زمینه سیاه ارسال کردم، یک فایل 5 مگابایتی بود، و به نظر من درست نبود.

تصاویر تحت تاثیر aCropalypse اغلب نمی توانند به طور کامل بازیابی شوند، اما می توان آنها را به طور اساسی بازسازی کرد. آرون نمونه هایی ارائه کرد، از جمله یکی که در آن او توانست شماره کارت اعتباری خود را پس از تلاش برای برش دادن آن از یک عکس بازیابی کند. به طور خلاصه، تعداد زیادی از عکس‌ها در آنجا وجود دارند که حاوی اطلاعات بیشتری از آنچه باید هستند – به ویژه، اطلاعاتی که شخصی عمداً سعی در حذف آنها داشته است.

مایکروسافت هنوز هیچ اصلاحی صادر نکرده است، اما حتی مواردی که گوگل منتشر کرده است، وضعیت فایل‌های تصویری موجود را که در سال‌هایی که ابزار هنوز آسیب‌پذیر بود، کاهش نمی‌دهند. با این حال، گوگل اشاره می کند که فایل های تصویری به اشتراک گذاشته شده در برخی رسانه های اجتماعی و سرویس های ارتباطی ممکن است به طور خودکار داده های اشتباه را از بین ببرند.