La vulnerabilità nota come Cropalypse riguarda un difetto di sicurezza nell’app Markup di Google Pixel che mette a rischio informazioni personali contenute negli screenshot che sono stati tagliati o modificati dagli utenti. Nonostante sia stata sviluppata una patch per risolvere il problema, non può proteggere le immagini già modificate e condivise in rete. Gli utenti sono consigliati di installare l’aggiornamento al più presto per salvaguardare la loro privacy.
Cosa dicono gli esperti
Gli esperti Simon Aarons e David Buchanan hanno scoperto una falla di sicurezza nell’app di modifica degli screenshot predefinita sui dispositivi Google Pixel chiamata Markup. Questa vulnerabilità, nota come Cropalypse, può rivelare informazioni personali dagli screenshot precedentemente ritagliati e modificati dagli utenti, esponendoli parzialmente come “non modificati”.
Google ha già rilasciato una patch per risolvere il problema di sicurezza, ma non può garantire la protezione per gli screenshot già modificati e condivisi online prima dell’aggiornamento.
Parti di immagini ritagliate riprendono vita con aCropalypse
In pratica, la vulnerabilità nei Google Pixel di sicurezza aCropalypse consente a chiunque di ripristinare alcune parti di uno screenshot PNG ritagliato con lo strumento di markup predefinito di Android, rivelando informazioni sensibili dell’immagine. Anche se Google ha risolto il problema con un aggiornamento di sicurezza per gli smartphone Pixel nel marzo 2023 (noto come CVE-2023-21036), gli screenshot ritoccati inviati su piattaforme di social media come Discord, Telegram e WhatsApp prima di metà gennaio potrebbero ancora essere a rischio di esposizione.
L’ingegnere David Buchanan ha segnalato il difetto a Google lo scorso gennaio, affermando che esiste da circa cinque anni ed è apparso con l’introduzione di Markup con l’aggiornamento di Android 9 Pie. Gli screenshot più vecchi modificati con Markup e condivisi online potrebbero essere ancora vulnerabili all’exploit.
Quali sono i problemi tecnici
I problemi tecnici sembrano derivare da una modifica ad un’API in Android 10. In precedenza, un’app che scriveva nuovi dati in un file esistente troncava il file per impostazione predefinita se la quantità di nuovi dati era inferiore a quella contenuta nel file originale. Con la modifica, quel comportamento di troncamento non era più predefinito, consentendo al backend del file esistente di rimanere intatto come parte del nuovo file se la quantità di nuovi dati fosse inferiore a quella contenuta nel file originale.
Quali sono i rischi
Dopo aver condotto la ricerca, gli esperti Simon Aarons e David Buchanan hanno reso noti i risultati e creato un tool online per testare la vulnerabilità, dimostrando che questa falla di sicurezza, nota come aCropalypse, può essere sfruttata con successo in alcuni casi pratici.
Infatti, mentre alcune piattaforme social e di messaggistica istantanea applicano una elaborazione interna alle immagini caricate sui loro sistemi, altre piattaforme non modificano adeguatamente le immagini in upload, come Discord, che non effettua una compressione ulteriore dell’immagine o modifica dei metadati per evitare questa vulnerabilità.
Questo significa che le immagini modificate con gli smartphone Pixel e condivise su Discord prima del 17 gennaio 2023 potrebbero essere vulnerabili e potrebbero esporre parti precedentemente nascoste.
