Una vulnerabilidad en Markup, la herramienta de edición de capturas de pantalla predeterminada de Google Pixel, permite que las imágenes queden parcialmente «sin editar», lo que podría exponer la información personal que los usuarios deciden ocultar. Esta vulnerabilidad es descubierto por el ingeniero inverso Simon Aaarons y David Buchanan. Aunque fue cerrado por Google, tiene consecuencias comunes para las capturas de pantalla editadas compartidas antes de la actualización.
de Aaarons Según detalló en un tuit que compartió en TwitterEsta vulnerabilidad, denominada “aCropalypse”, permite recuperar parcialmente capturas de pantalla PNG editadas en Markup. Esto incluye situaciones en las que una persona puede usar la herramienta para piratear o difamar su nombre, dirección, número de tarjeta de crédito u otra información personal contenida en la captura de pantalla. Al explotar esta vulnerabilidad, una persona malintencionada podría deshacer algunos de estos cambios y acceder a información que los usuarios pensaban que estaban ocultando.
Aaarons y Buchanan explican que este error guarda la captura de pantalla original de Markup en la misma ubicación del archivo que la editada y nunca elimina la versión original. Si la captura de pantalla editada es más pequeña que la original, «la última parte del archivo original se deja atrás donde debería haber terminado el nuevo archivo».
Según Buchanan, este error apareció hace unos cinco años cuando Google lanzó Markup con la actualización de Android 9 Pie. Esto puede causar que las capturas de pantalla antiguas editadas con Markup y compartidas en las plataformas de redes sociales a lo largo de los años se dañen al usar esta vulnerabilidad.
La página de preguntas frecuentes indica que algunos sitios, como Twitter, procesan las imágenes publicadas en las plataformas y borran este error, pero otros, como Discord, no lo hacen. Discord solucionó recientemente esta vulnerabilidad en su actualización del 17 de enero; Las imágenes editadas enviadas a la plataforma antes de esta fecha pueden estar en peligro. Todavía no está claro si hay otros sitios o aplicaciones afectados y qué aplicaciones.
Después de que Aaarons y Buchanan informaran sobre la vulnerabilidad (CVE-2023-21036) a Google en enero, la empresa solucionó el problema con la actualización de seguridad de marzo para Pixel 4A, 5A, 7 y 7 Pro, y la vulnerabilidad se clasificó como «alta». No está claro cuándo estará disponible esta actualización para otros dispositivos afectados y si Google ha respondido a las solicitudes de más información al respecto. Si desea ver por sí mismo cómo funciona este problema, puede cargar una captura de pantalla editada con la herramienta de marcado obsoleta en una página de demostración creada por Aarons y Buchanan. O puede consultar algunos ejemplos aterradores publicados en la web.
La vulnerabilidad se produjo pocos días después de que el equipo de seguridad de Google identificara un problema en el que los módems Samsung Exynos en los modelos Pixel 6, Pixel 7 y Galaxy S22 y A53 seleccionados podían «comprometer de forma remota» los dispositivos utilizando solo el número de teléfono de la víctima. Google solucionó este problema en la actualización de marzo, pero esta actualización aún no está disponible para los dispositivos Pixel 6, 6 Pro y 6A.