Нещодавно дослідники повідомили про вразливість aCropalypse, яку виявили в інструментах для створення скриншотів Pixel — однак, схоже, Google була не єдиною компанією, яка припустилася такої помилки.
Повідомляється, що інструмент Snipping Tool від Microsoft для Windows 11 та Snip & Sketch у Windows 10 мають дуже схожий експлойт — отже скриншоти, які ви виклали в інтернет, можуть містити інформацію, яка не призначена для загалу.
Дослідник Девід Бьюкенен пише, що якщо зробити знімок екрана за допомогою одного з вказаних інструментів, зберегти його, а потім обрізати та знову зберегти — дані можуть бути доступними у тому самому файлі. Щоб побачити прихований вміст можна використовувати майже такий самий код, що й для смартфонів Pixel.
Але вразливість, схоже, дещо обмежена за сферою дії, Б’юкенен каже, що експлойт «вимагає збереження-обрізання-збереження» — тобто все буде добре, якщо початковий скриншот включатиме лише певну частину екрана. І хоча інструмент Snip & Sketch у Windows 10 нібито має ту саму проблему, дослідник стверджує, що в оригінальному інструменті Snipping Tool для Windows 10 її немає.
Минулого тижня Девід Бьюкенен і Саймон Ааронс повідомили про вразливість у системі безпеки Google Pixel, яка стосується стандартної утиліти Markup і дозволяє частково «скасовувати» редагування скриншотів. Google вже закрила вразливість на Pixel 4A, 5A, 7 та 7 Pro у березневому оновленні безпеки. На інших Pixel загроза поки актуальна — перевірити скриншот можна самостійно, завантаживши його на сторінку, що створена Ааронсом та Бьюкененом.
«Ми знаємо про ці звіти, проводимо розслідування та запровадимо необхідні заходи, щоб захистити клієнтів»», — сказала представник Microsoft Рейчел Тогер Візерс.
Джерело: The Verge