Конфиденциальные данные пользователей под угрозой, существует ли способ защитить себя?
Пару дней назад мы рассказывали, что встроенный в смартфоны Google Pixel редактор изображений Markup подвержен уязвимости aCropalypse, позволяющей злоумышленникам «достроить» часть изменённого пользователем изображения до оригинала и увидеть ранее скрытую информацию.
«aCropalypse» — это уязвимость, которая позволяет любому желающему с помощью специальной утилиты «отменить изменения», применённые к скриншоту экрана, тем самым раскрывая информацию, которую автор намеренно обрезал или размыл. Уязвимость впервые обнаружили исследователи безопасности Саймон Ааронс и Дэвид Бьюкенен. Они заметили, что исходные данные изображения сохраняются в файле, даже если их отредактировать или обрезать. Исследователи даже запустили специальный онлайн-инструмент (сайт недоступен без VPN), который демонстрирует работоспособность этой уязвимости.
Буквально вчера стало известно, что фоторедактор в смартфонах Pixel — не единственная программа, подверженная этой уязвимости. Как сообщается, встроенный в Windows 11 инструмент «Ножницы» («Фрагмент и набросок») точно так же позволяет восстанавливать часть изменённых данных. В ходе анализа уязвимости выяснилось, что «Ножницы» не удаляет исходную информацию из файла после его редактирования, поэтому потенциальный недоброжелатель может восстановить оригинальное изображение путём нехитрых манипуляций.
Кадрированное, а затем восстановленное изображение
Выявленная уязвимость довольно серьёзна, учитывая, что пользователи нередко обрезают или размывают свои скриншоты, чтобы скрыть различные конфиденциальные данные, способные включать реквизиты банковской карты, личный адрес человека, номер телефона и многое другое. Благодаря поднятой шумихе Microsoft в скором времени должна будет выпустить исправление этой уязвимости. Однако уже существующие отредактированные скриншоты — по-прежнему могут быть использованы злоумышленниками в своих целях.
Пока официальных комментариев от Microsoft не поступало, пользователям рекомендуется избегать инструмента «Ножницы» для создания и редактирования скриншотов. Для этих целей можно воспользоваться сторонними программами.
Источник: securitylab