3 月 20 日消息，谷歌 Pixel 手機(jī)自帶的截圖編輯工具 Markup 被曝存在一個安全漏洞，可能導(dǎo)致用戶編輯過的截圖被部分還原，從而暴露用戶想要隱藏的隱私信息。這一漏洞最早由反向工程師 Simon Aaarons 和 David Buchanan 揭露，谷歌已經(jīng)在 3 月份的安全更新中修復(fù)了這一漏洞，但是在此次更新之前用戶分享到網(wǎng)上的截圖仍然有風(fēng)險。

根據(jù) Aaarons 在 Twitter 上發(fā)布的一個帖子，這個被稱為“aCropalypse”的漏洞可以讓用 Markup 編輯過的 PNG 格式的截圖部分還原，例如用戶使用該工具裁剪或涂抹掉自己的姓名、地址、信用卡號或其他任何隱私信息存在被還原的可能，不法分子可以利用這個漏洞來獲取用戶本以為已經(jīng)隱藏起來的隱私信息。

Aaarons 和 Buchanan 解釋說，這個漏洞存在是因為 Markup 將原始截圖保存在與編輯過的截圖相同的文件位置，并且從不刪除原始版本。

據(jù) Buchanan 稱，這個漏洞大約首次出現(xiàn)在五年前，大約在同一時間谷歌在Android9 Pie 更新中引入了 Markup。這使得情況更加糟糕，因為用 Markup 編輯過并分享到社交媒體平臺上的舊截圖可能都存在風(fēng)險。

據(jù)IT之家了解，雖然有些網(wǎng)站(包括 Twitter)會對上傳到平臺上的圖片進(jìn)行重新處理，并去除其中存在的漏洞，但其他一些網(wǎng)站(如 Discord)則沒有。Discord 直到最近 1 月 17 日才修復(fù)了這個漏洞，意味著在此之前分享到該平臺上的截圖仍然有風(fēng)險，目前還不清楚是否還有其他受影響的網(wǎng)站或應(yīng)用。

Aaarons 發(fā)布的一個例子(上圖)顯示了一個編輯過的信用卡圖片，該圖片用 Markup 工具的黑色筆遮擋了卡號。當(dāng) Aaarons 下載這張圖片并利用 aCropalypse 漏洞處理時，圖片的頂部變得損壞，但他仍然可以看到在 Markup 中被編輯掉的部分，包括信用卡號。

谷歌已經(jīng)在 3 月份的安全更新中修復(fù)了這個漏洞，并將其嚴(yán)重程度分類為“高”。這個更新目前適用于 Pixel 4a、5a、7 和 7 Pro 等型號，意味著 Markup 仍然可能在一些 Pixel 設(shè)備上產(chǎn)生有漏洞的圖片。目前還不清楚谷歌何時會將這個補(bǔ)丁推送給其他 Pixel 設(shè)備。

關(guān)鍵詞：