Los investigadores de seguridad descubrieron que las capturas de pantalla recortadas en los dispositivos Google Pixel pueden explotarse para obtener acceso a los datos del usuario, como detalles de inicio de sesión, mensajes, fotos y otra información bancaria.
Un parche que no resuelve completamente el problema
Descubierta por los ingenieros inversos Simon Aarons y David Buchanan, y desde que Google la reparó, lamentablemente la vulnerabilidad no aborda el problema de las capturas de pantalla editadas que ya se compartieron en línea antes de la actualización. La falla en cuestión, denominada “aCropalypse”, permite recuperar parcialmente imágenes PNG que fueron editadas con la herramienta “Markup”, instalada por defecto en los teléfonos inteligentes Google Pixel.
Es posible que deba recortar una captura de pantalla o superponer información antes de compartirla. Este suele ser el caso cuando no desea que su nombre, dirección de correo electrónico, número de teléfono o información bancaria aparezcan en la imagen en cuestión. Los piratas informáticos que utilizan el exploit “Acropalypse” pueden revertir algunos de los cambios realizados en las capturas de pantalla para obtener información confidencial que pensabas que habías ocultado.
Descubrir : Prueba de Pixel 7 Pro, Google le da una lección a la competencia
Como señalan Aarons y Buchanan, la falla en cuestión existe porque guarda capturas de pantalla en la misma ubicación que las imágenes editadas, sin eliminar nunca la versión original. Se dice que el problema apareció casi al mismo tiempo que la introducción de la herramienta “Markup” con Android 9 Pie. Un fallo que es tanto más preocupante cuanto que las imágenes compartidas en redes durante años seguirían siendo vulnerables a este exploit.
Algunas plataformas evitan este defecto, otras no.
Algunos sitios como Twitter reprocesan las imágenes antes de ser publicadas en la red social, lo que elimina la vulnerabilidad a esta falla. A su vez, Discord parchó este exploit en una actualización del 17 de enero. Desafortunadamente, las imágenes compartidas en la plataforma antes de esta fecha aún están en riesgo.
Presentamos acropalypse: una grave vulnerabilidad de privacidad en la herramienta de edición de capturas de pantalla integrada de Google Pixel, Markup, que permite la recuperación parcial de datos de imágenes originales sin editar de una captura de pantalla recortada o editada. Muchas gracias @David3141593 por su ayuda en todo! pic.twitter.com/BXNQomnHbr
—Simón Aarons (@ItsSimonTime) 17 de marzo de 2023
Como puede ver en la imagen de arriba, hay una imagen recortada de una tarjeta de crédito que se ha recortado y publicado en Discord. El usuario deseaba ocultar el número de la tarjeta en la captura de pantalla, pero Aarons logró mostrarlo de todos modos, aprovechando la vulnerabilidad Acropalypse.
En enero de 2023, se alertó a Google. La compañía solucionó el problema en la actualización de seguridad de marzo para Pixel 4a, 5a, Pixel 7 y 7 Pro. Todavía no se sabe cuándo se implementará la corrección en otros dispositivos Pixel.
Leer : Una de las mayores amenazas de Internet ha vuelto
Una falla que se produce pocos días después de que el equipo de seguridad de Google descubriera una importante falla de seguridad. Este último se refiere a los módems Samsung Exynos de Pixel 6, Pixel 7 y algunos Galaxy S22 y A53. Permite a los piratas informáticos comprometer dispositivos de forma remota simplemente usando el número de teléfono de la víctima.
“Escritora típica. Practicante de comida malvada. Genio zombi. Introvertido. Lector. Erudito de Internet. Entusiasta del café incondicional”.
