Программисты Саймон Ааронс (Simon Aaarons) и Дэвид Бьюкенен (David Buchanan) обнаружили необычный баг стандартной утилиты Markup в смартфонах Google Pixel для редактирования изображений. Он позволяет частично восстановить картинку, которая было изменена (в том числе обрезана и закрашена виртуальным маркером), что может представлять серьёзную опасность для конфиденциальности (например, если таким образом автор удалил данные кредитной карты). Google уже выпустила патч для некоторых своих смартфонов, но, похоже, это произошло слишком поздно.
Уязвимость, получившая название aCropalypse, заключается в том, что Markup сохраняет исходное изображение в том же файле-контейнере, в котором хранится и отредактированная версия — это касается не всей картинки, а лишь её части (умещающейся в разнице между весом исходного и отредактированного фото), но даже этого часто достаточно.
Исследователи уведомили Google о данной уязвимости в январе, и компания исправила её в мартовском патче безопасности для Pixel 4a и 5a, а также Pixel 7 и 7 Pro. Когда апдейт выйдет для других устройств — неизвестно.
Сообщается, что с выходом патчей проблема не иссякает — aCropalypse появилась ещё в Android 9 Pie. Иными словами, опубликованные с того момента изображения в сети, отредактированные в Markup, могут представлять опасность для владельцев. Особенно с учётом того, что некоторые сервисы не обрабатывают изображения повторно, из-за чего уязвимость в фото не устраняется. Например, в числе таких сервисов был и Discord — разработчики устранили aCropalypse только в обновлении от 17 января.
