على الرغم من التصحيح الأمني الذي تم إجراؤه هذا الشهر على هواتف Pixel الذكية من Google، إلا أن المخاطر لا تزال قائمة. وذلك لأن لقطات الشاشة القديمة التي تم تحريرها على هذه النماذج يمكن اختراقها. من الواضح أنه يمكن إزالة التعديلات على لقطات الشاشة إذا تم إرسالها.
في الأسبوع الماضي، تم افتتاح مختبر Project Zero الأمني فيجوجلتم التنبيه علىثغرات أمنية مختلفة على الهواتف الذكية التي تعمل بنظام أندرويد. المعلومات التي تم إصدارها بعد نشر التحديث الأمني على Pixels. إلا أن بعض المتخصصين يحذرون من أن أحدها لم يتم تصحيحه بشكل كامل.
كما وردإنجادجيتفإن المهندسين سايمون آرونز وديفيد بوكانان هم من نبهوا إلى الخلل “aCropalypse» والتي لن يتم تصحيحها بالكامل. مع ألقطة شاشةبتنسيق PNG الذي تم اقتصاصه أو تعديله بالترميز، يمكننا التراجع عن بعض التعديلات التي تم إجراؤها. يتضمن ذلك اقتصاص عنصر ما، ولكن أيضًا إخفاءه، مع وجود مستطيل أسود على سبيل المثال فوق عنصر خاص (رمز، عنوان، وما إلى ذلك).
تقديم acropalypse: ثغرة أمنية خطيرة في الخصوصية في أداة تحرير لقطة الشاشة المدمجة في Google Pixel، Markup، مما يتيح الاسترداد الجزئي لبيانات الصورة الأصلية غير المحررة من لقطة الشاشة التي تم اقتصاصها و/أو تنقيحها. شكرا جزيلا ل@ديفيد3141593لمساعدته طوال الوقت!pic.twitter.com/BXNQomnHbr
– سيمون آرونز (@ItsSimonTime)17 مارس 2023
تم حظر هذا المحتوى لأنك لم تقبل ملفات تعريف الارتباط وأجهزة التتبع الأخرى. يتم توفير هذا المحتوى عن طريق تويتر.
لتتمكن من مشاهدته، يجب عليك قبول الاستخدام الذي يقوم به تويتر لبياناتك والذي يمكن استخدامه للأغراض التالية: السماح لك بعرض المحتوى ومشاركته مع وسائل التواصل الاجتماعي، وتعزيز تطوير وتحسين المنتجات من Humanoid وملحقاتها. الشركاء، عرض إعلانات مخصصة لك بناءً على ملفك الشخصي ونشاطك، وتحديد ملف تعريف إعلاني مخصص، وقياس أداء الإعلانات والمحتوى على هذا الموقع وقياس جمهور هذا الموقع(يتعلم أكثر)
بالنقر على "أوافق على الكل"، فإنك توافق على الأغراض المذكورة أعلاه لجميع ملفات تعريف الارتباط وأدوات التتبع الأخرى التي يضعها Humanoid وشركائها.
يمكنك سحب موافقتك في أي وقت. لمزيد من المعلومات، ندعوك لقراءة موقعناسياسة ملفات تعريف الارتباط.
قام ديفيد بوكانان بتفصيل الخلل من منظور تقنيمدونته، ولكنه قدم أيضًا حالة عملية للقرصنة (في إحدى لقطات الشاشة الخاصة به). يقول: "كانت الحالة الأكثر فظاعة عندما قمت بنشر لقطة شاشة مقصوصة لرسالة تأكيد الطلب عبر البريد الإلكتروني على موقع eBay، والتي تعرض المنتج الذي اشتريته للتو. بفضل استغلال الخطأ، تمكنت من إلغاء إطار لقطة الشاشة هذه، وبالتالي الكشف عن عنواني البريدي الكامل." آخر "حالة عملية» كشف عنها سايمون آرونز: لقطة شاشة لبطاقة ائتمان مرسلة من قبلالفتنةباستخدام الرموز المخفية، يمكن إزالة الميزات التي تخفيها.
يعود تاريخ هذا الخلل إلى إصدار Markup في عام 2018، والذي يتزامن مع إصدارأندرويد 9 باي. بفضل التصحيح الأمني الذي أصدرته جوجل هذا الشهر، لن تتأثر لقطات الشاشة الجديدة. لكن هذا ليس هو الحال بالنسبة لأولئك الذين صنعوا قبل هذارقعة. لذلك يوصى بالحذر بشأن لقطات الشاشة التي تشاركها والتي تم التقاطها مسبقًا. لكن كن حذرًا، فقد يعتمد هذا على القنوات التي تنشر عليها هذه الصور. على سبيل المثال بعض المواقع مثل تويتر “معالجة الصور بطريقة لا يتمكن أي شخص من استغلال الثغرة الأمنية لإجراء تعديل عكسي على لقطة الشاشة أو الصورة», اكتبإنجادجيت. في الوقت الحالي، لم تعلق جوجل على هذه الإكتشافات.
ما هي هواتف Pixel الذكية المتأثرة؟
تم اكتشاف الخلل في هذه الهواتف الذكية:
- بكسل 3
- بكسل 3 اكس ال
- بكسل 3 أ
- بكسل 3a XL
- بكسل 4
- بكسل 4 اكس ال
- بكسل 4 أ
- بكسل 5
- بكسل 5 أ
- بكسل 6
- بكسل 6 برو
- بكسل 6 أ
- بكسل 7
- بكسل 7 برو
في الوقت الحالي، يتوفر التصحيح الأمني لشهر مارس الذي طرحته Google فقط على هواتف Pixel 4a و5a و7 و7 Pro، مما يعني أن الأجهزة الأخرىالهواتف الذكيةلا يزال بإمكان مستخدمي العلامة التجارية الذين يستخدمون Markup إنشاء لقطات شاشة ضعيفة. علاوة على ذلك، لم تقدم جوجل جدولًا زمنيًا للنماذج الأخرى. أما سايمون آرونز وديفيد بوكانان فقد وضعا الموقع على الإنترنتacropalypse.app، والذي يسمح لك باختبار لقطات الشاشة وفقًا لطراز Pixel الخاص بك.
