Google Pixel’in varsayılan ekran görüntüsü düzenleme aracı olan Markup’ta bulunan bir güvenlik açığı, kullanıcıların gizlemeyi seçtikleri kişisel bilgilerin ortaya çıkmasına neden olabilecek şekilde, resimlerin kısmen “düzenlenmemiş” hâle gelmesine olanak tanıyor. Bu güvenlik açığı, tersine mühendislik çalışmaları yapan Simon Aaarons ve David Buchanan tarafından keşfedildi. Her ne kadar Google tarafından açık kapatılsa da, güncellemeden önce paylaşılan düzenlenmiş ekran görüntüleri için yaygın sonuçları bulunmaktadır.
Aaarons’un Twitter’da paylaştığı bir tweette detaylandırıldığı gibi, “aCropalypse” adlı bu açık, bir kişinin Markup’ta düzenlenen PNG ekran görüntülerini kısmen kurtarmasına olanak tanıyor. Bu, bir kişinin araçla adını, adresini, kredi kartı numarasını veya ekran görüntüsünde bulunan diğer kişisel bilgileri kesmek veya karalamak için kullanabileceği durumları da içeriyor. Kötü niyetli bir kişi, bu güvenlik açığını kullanarak bu değişikliklerin bazılarını geri alabilir ve kullanıcıların gizlediklerini düşündükleri bilgilere ulaşabilir.
Aaarons ve Buchanan, bu hatanın Markup’ın orijinal ekran görüntüsünü düzenlenmiş olanla aynı dosya konumuna kaydettiğini ve orijinal sürümü asla silmediğini açıklıyor. Eğer düzenlenmiş ekran görüntüsü, orijinalinden daha küçükse, “yeni dosyanın sona ermesi gereken yerden sonra orijinal dosyanın son kısmı geride kalır.”
Buchanan’a göre, bu hata yaklaşık beş yıl önce ortaya çıktı ve Google, Android 9 Pie güncellemesiyle Markup’ı çıkardığında belirdi. Bu durum, yıllar boyunca Markup ile düzenlenen ve sosyal medya platformlarında paylaşılan eski ekran görüntülerinin, bu açığı kullanarak zarar görmesine neden olabilir.
SSS sayfasında, Twitter gibi bazı sitelerin platformlara gönderilen resimleri işleyip bu hatadan arındırdığı, ancak Discord gibi diğerlerinin bunu yapmadığı belirtiliyor. Discord, bu açığı 17 Ocak’taki güncellemesiyle yeni olarak düzeltti; bu tarihten önce platforma gönderilen düzenlenmiş görseller tehlikede olabilir. Hâlâ etkilenen diğer sitelerin veya uygulamaların olup olmadığı ve hangi uygulamaların olduğu açık değil.
Aaarons ve Buchanan, güvenlik açığını (CVE-2023-21036) Ocak ayında Google’a bildirdikten sonra, şirket Pixel 4A, 5A, 7 ve 7 Pro için Mart güvenlik güncellemesiyle sorunu düzeltti ve açığın şiddeti “yüksek” olarak sınıflandırıldı. Bu güncellemenin etkilenen diğer cihazlar için ne zaman sunulacağı ve Google’ın konuyla ilgili daha fazla bilgi talebine yanıt verip vermediği belli değil. Bu sorunun nasıl çalıştığını kendiniz görmek isterseniz, Aarons ve Buchanan tarafından oluşturulan bir demo sayfasına güncellenmemiş Markup aracıyla düzenlenen bir ekran görüntüsü yükleyebilirsiniz. Ya da web’de yayınlanan bazı korkutucu örnekleri inceleyebilirsiniz.
Bu güvenlik açığı, Google’ın güvenlik ekibinin Pixel 6, Pixel 7 ve belirli Galaxy S22 ve A53 modellerinde yer alan Samsung Exynos modemlerinin, sadece mağdurun telefon numarasını kullanarak cihazları “uzaktan tehlikeye atabileceği” bir sorunu tespit etmesinden sadece birkaç gün sonra ortaya çıktı. Google, bu sorunu Mart güncellemesinde düzeltti, ancak bu güncelleme henüz Pixel 6, 6 Pro ve 6A cihazları için kullanılamamaktadır.
Teknoblog’u X, Flipboard, Google Haberler ve Instagram‘da takip et!
