ثغرة خطيرة في هواتف بكسل تكشف المستور

0

آخر تحديث مارس 20, 2023

حذر باحثان أمنيان من ثغرة خطيرة عُثِرَ عليها في هواتف (بكسل) Pixel من جوجل تسمح بالكشف عن الأجزاء التي أخفاها المستخدمون من لقطات الشاشة المُحرّرة باستخدام أداة تحرير لقطات الشاشة Markup الموجودة بشكلٍ افتراضي في هواتف بكسل.

وسلّط الباحثان الأمنيان (سيمون آرونز) و (ديفيد بوكانان) الضوء على الثغرة التي أطلقا عليها اسم aCropalypse في تغريدةٍ على تويتر قالا فيها إن الثغرة تتيح استعادة الأجزاء التي أخفاها المُستخدمون من لقطات الشاشة عبر تمويهها، مما يعرض المعلومات الشخصية الحساسة للمُستخدم مثل اسمه وعنوانه ورقم بطاقته الائتمانية أو أي معلومات أخرى مخفية إلى الكشف.

ووفقًا للباحثين، وُجِدَت الثغرة منذ خمس سنوات، وهو الوقت الذي أصدرت فيه جوجل أداة Markup لدى إطلاقها تحديث أندرويد 9 في عام 2018. ورغم أن جوجل أصدرت تحديثًا أمنيًا لإصلاح الثغرة في الآونة الأخيرة، تكمن الخطورة بقابلية عكس التعديلات على الصور المُعدلة قبل هذا التحديث.

وقال الباحثان إن سبب الثغرة هو حفظ تطبيق Markup لمعلومات اللقطة الأصلية ضمن ملف الصورة نفسه، دون حذف معلومات الصورة التي أخفاها المُستخدم. ما يعني أن المعلومات المخفية يمكن استرجاعها عبر تطبيق بعض خوارزميات الهندسة العكسية على ملف الصورة.

ويعني هذا أن الصور المُحررة باستخدام الأداة المذكورة، والمنشورة على شبكات التواصل الاجتماعي منذ سنوات، ما زالت عرضةً للاستغلال. وأشار الباحثان إلى أن بعض شبكات التواصل الاجتماعي مثل تويتر تعمل على ضغط الصور المرفوعة إلى المنصة بشكلٍ يُجرّد تلك الصور من معلوماتها الأصلية وهو ما يجعل استرجاع المعلومات الحساسة منها غير ممكن. إلا أن خدماتٍ أخرى، لا تُجري أي تعديلاتٍ على الصور المرفوعة إليها ما يجعلها عرضةً للاستغلال، وضرب الباحثان مثالًا على ذلك تطبيق المحادثات Discord، الذي أصدر تحديثًا لإصلاح الثغرة بتاريخ 17 يناير الماضي، إلا أن الصور المُعدلة التي شاركها المستخدمون على المنصة قبل ذلك التاريخ قد تكون عرضةً للخطر.

!function(f,b,e,v,n,t,s)
{if(f.fbq)return;n=f.fbq=function(){n.callMethod?
n.callMethod.apply(n,arguments):n.queue.push(arguments)};
if(!f._fbq)f._fbq=n;n.push=n;n.loaded=!0;n.version=’2.0′;
n.queue=[];t=b.createElement(e);t.async=!0;
t.src=v;s=b.getElementsByTagName(e)[0];
s.parentNode.insertBefore(t,s)}(window, document,’script’,
‘https://connect.facebook.net/en_US/fbevents.js’);
fbq(‘init’, ‘1318394974990933’);
fbq(‘track’, ‘PageView’);

Leave A Reply

Your email address will not be published.