Os pesquisadores Simon Aarons e David Buchanan tornaram público um exploit que estão chamando de “aCropalypse” que, em essência, permite que qualquer pessoa tire uma captura de tela em PNG recortada na ferramenta de marcação padrão do Android e desfaça pelo menos algumas das edições para produzir partes da imagem que não foram destinados para visualização. Embora a exploração tenha sido relatada ao Google e corrigida na atualização de segurança de março para Pixels (consulte CVE-2023-21036), imagens editadas enviadas em determinadas plataformas – incluindo, entre outras, Discord antes de meados de janeiro – durante os últimos anos podem estar em risco de exposição.
Você pode ver o exploit em ação com suas próprias imagens usando esta ferramenta de demonstração fornecida pelos pesquisadores do aCropalypse. Também recebemos mais informações sobre a descoberta e correção desse exploit pelos pesquisadores antes de sua publicação nesta página da web.
O que há de errado, a versão humana amigável
Os aspectos técnicos da exploração parecem resultar de uma alteração em uma API no Android 10 (consulte este tópico do IssueTracker de 2021 e uma explicação geral do Redditor OatmealDome). Antes da alteração, um aplicativo encarregado de gravar novos dados em um arquivo existente truncaria esse arquivo por padrão se a quantidade desses novos dados fosse menor do que o arquivo original continha. Com a mudança, esse comportamento de truncamento não era mais padrão.
Portanto, se a quantidade de novos dados for menor do que o arquivo existente, porque a gravação de dados ocorre sequencialmente, o back-end do arquivo existente permanecerá intacto, como parte do novo arquivo. Essa alteração apresentou alguns resultados negativos: se os dados antigos fossem desnecessários para o novo arquivo, pelo menos estariam ocupando um precioso espaço de armazenamento; se os dados fossem de natureza confidencial, aqueles com as ferramentas certas poderiam lê-los e extraí-los por conta própria para usos maliciosos.
Embora o problema tenha sido considerado “corrigido” – até onde sabemos, a orientação mudou sobre o modo de gravação que os aplicativos devem usar – a ferramenta de marcação ainda usava esse modo de gravação não truncado.
Cortesia: aCropalypse
Aarons consultou Buchanan sobre esta vulnerabilidade em relação a capturas de tela PNG (não JPEGs) em 2 de janeiro e Buchanan foi capaz de desenvolver rapidamente uma prova de conceito para a exploração atual. Os dois informaram o Google sobre o bug no mesmo dia. A empresa reconheceu o bug em 3 de janeiro. Uma correção foi finalizada internamente em 24 de janeiro, mas não começou a chegar aos dispositivos Pixel até 13 de março com o patch de segurança do mês.
O engenheiro postou em seu blog pessoal sobre os acontecimentos reais, mas de uma perspectiva de alto nível, eis o que está acontecendo: PNG como formato de arquivo comprime dados por meio de certos processos em uma série de blocos. Qualquer bloco de dados compactados poderia contêm referências ao bloco de dados anterior, teoricamente abrindo caminho para que os blocos de dados anteriores sejam descompactados um a um. Assim, Buchanan foi capaz de desenvolver um método de descompactação que combina esse aspecto de retrospectiva com algum trabalho de detetive criptográfico focado nos dados de arquivo intactos e transferidos para obter contexto sobre o que deve ser revelado.
Impacto
Como você já sabe, o resultado é que uma imagem editada na ferramenta de marcação pode ter partes da imagem original não editada após o fato com algum conhecimento. Além dos Pixels, alguns dispositivos Android não Pixel e ROMs personalizados também usam marcação.
Embora a maioria das plataformas on-line execute seu próprio processamento (como compactação adicional ou remoção de metadados) em imagens enviadas pelo usuário, o Discord não estava processando os uploads de imagens adequadamente para impedir que essa exploração funcionasse. Os pesquisadores do aCropalypse dizem que o aplicativo de bate-papo instantâneo começou a remover os dados de rastreamento dos arquivos em 17 de janeiro.
Embora o Discord tenha ferramentas de pesquisa avançadas para ajudar os usuários a encontrar arquivos de imagem que possam ter compartilhado, você pode ter muito conteúdo que não seja uma captura de tela para filtrar e nem todas as capturas de tela enviadas podem ser exploráveis - testamos uma captura de tela em um Pixel 6a contra a ferramenta de demonstração e não conseguimos obter um resultado, mas observamos outros usuários que relataram resultados viáveis online.
Buchanan disse em sua postagem no blog que escreveu um script para coletar imagens vulneráveis em seus uploads do Discord e encontrou “muitas delas”. Embora a maioria fosse geralmente inofensiva, ele tinha uma captura de tela de um pedido do eBay e conseguiu extrair seu endereço postal completo dela.
[ad_2]
