Una vulnerabilidad en el editor de capturas de pantalla de los smartphones Pixel de Google está poniendo en riesgo información sensible que el usuario ha modificado a través de este editor.

Un error de tipo ‘Acropalypse’ en la herramienta Markup de Google Pixel permite recuperar parcialmente capturas de pantalla e imágenes editadas o redactadas por los usuarios. Entre ellas se incluyen las que se han recortado, o cuyo contenido se ha enmascarado, durante los últimos cinco años.

Los investigadores de seguridad Simon Aarons y David Buchanan, han sido los que han descubierto esta vulnerabilidad. A través de Twitter informaron que era posible recuperar información confidencial de imágenes editadas durante los últimos cinco años mediante un ataque que han denominado «Acropalypse».

Aarons compartió un ejemplo de cómo utilizaron este error para restaurar una foto cargada en Discord de una tarjeta de crédito cuyo número fue redactado usando la función de marcador negro de la herramienta Markup.

Cabe recordar que la herramienta Markup es un editor de imágenes integrado que le permite redactar, recortar y cambiar imágenes en un dispositivo Google Pixel.

Después de ejecutar la foto a través de su exploit Acropalypse, recuperaron la imagen original.

Los investigadores también publicaron en línea una utilidad de recuperación de capturas de pantalla de Acropalypse para permitir a los propietarios de píxeles probar sus propias imágenes redactadas y ver si son recuperables.

Ambos investigadores informaron a Google de la existencia de esta vulnerabilidad el pasado mes de enero. Sin embargo, la compañía no la ha solucionado hasta ahora a través de su actualización de marzo, publicada el pasado día 13, y que la registró como CVE-2023-21036.

Vulnerabilidad smartphones Google Pixel captura imágenes Markup editor Acropalypse  actualización seguridad noticia bit life media

Implicaciones de seguridad graves para los Google Pixel

Se cree que el problema se debe a cómo se abre el archivo de imagen para editarlo, lo que provoca que los datos truncados se quedaran atrás en una imagen guardada. Esto permitió recuperar aproximadamente el 80% de la versión original.

No obstante, esta brecha podría exponer información confidencial que el creador de la imagen haya eliminado con la herramienta de marcado de Pixel antes de compartir con otros o publicarla en Internet.

Esto se aplica a la publicación en plataformas que no comprimen los medios subidos por los usuarios, por lo que los datos confidenciales, si existen, permanecen intactos.

A pesar de que Google haya solventado el problema en su última actualización de seguridad, todas las imágenes compartidas por los Google Pixel en los últimos cinco años son vulnerables. Por el momento, no se puede hacer nada para remediarlo.

Como consecuencia, el fallo podría tener graves implicaciones de privacidad para los usuarios que publicaron capturas de pantalla con información confidencial redactada con la herramienta Markup.

Asimismo, también podría tener un impacto para los usuarios que comparten imágenes de sí mismos, con ciertas partes de la imagen editadas, pero ahora posiblemente recuperables.

Dispositivos afectados

El problema afecta a todos los modelos de Pixel con Android 9 Pie y versiones posteriores, que es cuando se introdujo la herramienta Markup.

La actualización de seguridad Google de marzo está disponible para los smartphones Pixel 4a, 5a, 7 y 7 Pro con una semana de retraso. En parte, se debe al descubrimiento de 18 errores de día cero descubiertos en los módems Exynos que se utilizan en las series Pixel 6 y 7.

Tanto los errores de Exynos como la vulnerabilidad de Markup aún deben corregirse para los Pixel 6a, 6 y 6 Pro, ya que la actualización de seguridad de marzo aún debe implementarse para estos modelos.

Asimismo, hay que tener en cuenta que esta vulnerabilidad también podría afectar a smartphones que no son Pixel utilizando distribuciones de Android de terceros que utilicen la herramienta Markup para la edición de imágenes y/o capturas de pantalla.

 

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre