据TechRadar称,一个名为“aCropalypse”的漏洞针对的是Pixel设备。希望谷歌通过最近三月的功能下降修补漏洞,但没有收到路径的用户可能会面临风险。

aCropalypse漏洞利用使Pixel设备面临严重风险

安全研究人员SimonAarons和DavidBuchanan在使用默认标记编辑工具裁剪PNG文件后,在Pixel设备中发现了该漏洞。该漏洞在几年前首次被发现,是由Android10上的API更改引起的。

据报道,研究人员在1月2日发现了这个问题,并在同一天通知了谷歌。然而,谷歌于1月24日在内部修补了该漏洞,但最终用户在3月,也就是漏洞被发现近两个月后得到了修复。

“aCropalypse”漏洞利用主要针对Pixel手机,但在其他Android手机和自定义ROM中也能找到它的踪迹。据说消息服务Discord也是此漏洞的目标。Discord之前的图像处理方法从不剥离元数据或压缩图像。

虽然手机被标记编辑工具故障感染似乎很奇怪,但一些不幸的Pixel用户处理了这个案例。“aCropalypse”的工作方式很简单,但也很棘手。缩短或裁剪图像文件后,标记工具仍保留有关已编辑图像的一些信息并保留裁剪的部分。

“所以基本上Pixel7Pro,当你裁剪并保存屏幕截图时,会用新版本覆盖图像,但将原始文件的其余部分保留在原处。”研究人员西蒙阿伦斯说。

根据Buchanan的解释,PNG文件以块的形式保存其数据。编辑文件后,其中一个块仍保留有关已编辑部分的数据。“从理论上讲,图像几乎可以完全由对缺失数据的反向引用组成,但实际上,大多数图像都不是这样的。”布坎南补充道。此外,由于处理数据的方法不同,该漏洞似乎不会影响JPEG文件。

Aarons和Buchanan创建了一个工具,可以帮助您找到屏幕截图中的漏洞,并查明您的屏幕截图是否受到感染。该服务目前支持从Pixel3到7Pro的几乎所有Pixel手机。