Tuesday, March 28, 2023
HomeTechGoogle Pixel 'aCropalypse' शोषण स्क्रीनशॉट के संपादित भागों को उलट देता है

Google Pixel ‘aCropalypse’ शोषण स्क्रीनशॉट के संपादित भागों को उलट देता है

Google पिक्सेल की डिफ़ॉल्ट स्क्रीनशॉट संपादन उपयोगिता, मार्कअप को प्रभावित करने वाला एक सुरक्षा दोष, छवियों को आंशिक रूप से “असंपादित” होने की अनुमति देता है, संभावित रूप से व्यक्तिगत जानकारी को प्रकट करता है जिसे उपयोगकर्ता छिपाने के लिए चुनते हैं, जैसा कि द्वारा पहले देखा गया 9to5गूगल और Android पुलिस. भेद्यता, जो थी रिवर्स इंजीनियरों द्वारा खोजा गया साइमन आरोन्स और डेविड बुकानन को तब से Google द्वारा पैच कर दिया गया है, लेकिन अभी भी अपडेट से पहले साझा किए गए संपादित स्क्रीनशॉट के लिए व्यापक निहितार्थ हैं।

में विस्तृत रूप में एक थ्रेड आरोन्स ने ट्विटर पर पोस्ट किया, जिसे उपयुक्त नाम दिया गया है “एक्रॉपलिप्स” दोष किसी के लिए मार्कअप में संपादित पीएनजी स्क्रीनशॉट को आंशिक रूप से पुनर्प्राप्त करना संभव बनाता है। इसमें ऐसे परिदृश्य शामिल हैं जहां किसी ने उपकरण का उपयोग अपने नाम, पते, क्रेडिट कार्ड नंबर, या किसी अन्य प्रकार की व्यक्तिगत जानकारी को क्रॉप करने या स्क्रिबल करने के लिए किया होगा, जिसमें स्क्रीनशॉट हो सकता है। एक बुरा अभिनेता उन परिवर्तनों में से कुछ को उलटने के लिए इस भेद्यता का फायदा उठा सकता है और उन सूचनाओं को प्राप्त कर सकता है जिन्हें उपयोगकर्ता ने सोचा था कि वे छिपा रहे थे।

आगामी में सामान्य प्रश्न पृष्ठ द्वारा जल्दी प्राप्त किया 9to5गूगल, आरोन्स और बुकानन बताते हैं कि यह दोष मौजूद है क्योंकि मार्कअप मूल स्क्रीनशॉट को उसी फ़ाइल स्थान में सहेजता है जहां संपादित किया गया है, और मूल संस्करण को कभी नहीं हटाता है। यदि स्क्रीनशॉट का संपादित संस्करण मूल से छोटा है, तो “नई फ़ाइल समाप्त होने के बाद मूल फ़ाइल का अनुगामी भाग पीछे रह जाता है।”

अनुसार बुकानन को, यह बग पहली बार लगभग पांच साल पहले सामने आया था, लगभग उसी समय Google ने एंड्रॉइड 9 पाई अपडेट के साथ मार्कअप पेश किया था। यही कारण है कि यह सब और भी बदतर हो जाता है, क्योंकि मार्कअप के साथ संपादित और सोशल मीडिया प्लेटफॉर्म पर साझा किए गए पुराने स्क्रीनशॉट शोषण के प्रति संवेदनशील हो सकते हैं।

एफएक्यू पेज बताता है कि ट्विटर सहित कुछ साइटें, प्लेटफॉर्म पर पोस्ट की गई छवियों को फिर से प्रोसेस करती हैं और उन्हें खामियों से दूर करती हैं, अन्य, जैसे कि डिस्कॉर्ड, नहीं। हाल ही में 17 जनवरी के अपडेट में डिस्कॉर्ड ने केवल शोषण का समाधान किया, जिसका अर्थ है कि उस तिथि से पहले प्लेटफ़ॉर्म पर साझा की गई संपादित छवियां जोखिम में हो सकती हैं। यह अभी भी स्पष्ट नहीं है कि क्या कोई अन्य प्रभावित साइट या ऐप हैं और यदि हां, तो वे कौन से हैं।

हारून द्वारा पोस्ट किया गया उदाहरण (ऊपर एम्बेड किया गया) डिस्कॉर्ड पर पोस्ट किए गए क्रेडिट कार्ड की एक क्रॉप्ड इमेज दिखाता है, जिसमें मार्कअप टूल के ब्लैक पेन का उपयोग करके कार्ड नंबर को भी ब्लॉक कर दिया गया है। एक बार जब हारून छवि को डाउनलोड करता है और एक क्रोपलिप्स भेद्यता का शोषण करता है, तो छवि का शीर्ष भाग दूषित हो जाता है, लेकिन वह अभी भी क्रेडिट कार्ड नंबर सहित मार्कअप में संपादित किए गए टुकड़ों को देख सकता है। आप में दोष के तकनीकी विवरण के बारे में अधिक पढ़ सकते हैं बुकानन का ब्लॉग पोस्ट.

हारून और बुकानन ने जनवरी में Google को दोष (CVE-2023-21036) की सूचना देने के बाद, कंपनी ने मार्च में इस मुद्दे को सुलझाया सुरक्षा अद्यतन Pixel 4A, 5A, 7, और 7 Pro के लिए इसकी गंभीरता को “उच्च” के रूप में वर्गीकृत किया गया है। यह स्पष्ट नहीं है कि भेद्यता से प्रभावित अन्य उपकरणों के लिए यह अपडेट कब आएगा, और Google ने तुरंत इसका जवाब नहीं दिया कगारअधिक जानकारी के लिए अनुरोध। अगर आप देखना चाहते हैं कि समस्या आपके लिए कैसे काम करती है, तो आप मार्कअप टूल के अपडेट नहीं किए गए वर्शन से संपादित स्क्रीनशॉट अपलोड कर सकते हैं इस डेमो पेज के लिए हारून और बुकानन द्वारा बनाया गया। या, आप इनमें से कुछ को देख सकते हैं डरावना उदाहरण वेब पर पोस्ट किया गया।

यह खामी तब सामने आई जब Google की सुरक्षा टीम ने पाया कि Pixel 6, Pixel 7 में सैमसंग Exynos मोडेम शामिल हैं, और गैलेक्सी S22 और A53 मॉडल का चयन करें। हैकर्स को “दूर से समझौता” करने की अनुमति दे सकता है केवल पीड़ित के फोन नंबर का उपयोग करना। तब से Google ने अपने मार्च अपडेट में इस समस्या का समाधान कर लिया है, हालाँकि यह अभी भी Pixel 6, 6 Pro और 6A उपकरणों के लिए उपलब्ध नहीं है।

Leave a Reply

Most Popular

Recent Comments

%d bloggers like this: