Hafta sonu, CVE-2023-21036’yı keşfeden bilakis mühendisler Simon Aarons ve David Buchanan, güvenlik açığı hakkında daha fazla bilgi paylaştılar ve Pixel kullanıcılarının, Google’ın nezaretinin tabiatı gereği eski imajlarının saklılığının ihlal edilmesi riskinin hala devam ettiğini ortaya çıkardılar.
Kısacası, “aCropalypse” kusuru, birisinin İşaretlemede kırpılmış bir PNG ekran manzarası almasına ve manzaradaki düzenlemelerin en azından kimilerini geri almasına müsaade veriyor. Makûs bir aktörün bu yeteneği berbata kullanabileceği senaryoları hayal etmek hayli kolay. Örneğin, bir Piksel sahibi kendisi hakkında hassas bilgiler içeren bir resmi yine düzenlemek için İşaretleme’yi kullanırsa, birisi bu bilgiyi ortaya çıkarmak için bu açıktan yararlanabilir.
Google Pixel güvenlik açığı ile gündemde
Buchanan’a nazaran açık, 2018’de Android 9 Pie ile birlikte Markup’ın piyasaya sürülmesiyle birebir vakte denk gelen yaklaşık beş yıllık süreçte var. Ve sorun da burada yatıyor. Mart güvenlik düzeltme güncellemesi, İşaretleme’nin gelecekteki imgeleri tehlikeye atmasını engelleyecek olsa da, Pixel kullanıcılarının geçmişte paylaşmış olabileceği kimi ekran imajları hala risk altında.
Pixel kullanıcılarının bu açıkla ilgili ne derece endişelenmeleri gerektiğini söylemek güç. Aarons ve Buchanan’ın 9to5Google ve The Verge ile paylaştığı bir SSS sayfasına nazaran, Twitter da dahil olmak üzere kimi web siteleri, manzaraları, birisinin bir ekran imgesini yahut manzarayı aksine çevirmek için güvenlik açığından yararlanamayacağı biçimde işleyebiliyor. Lakin başka platformlardaki kullanıcılar o kadar şanslı değil. Aarons ve Buchanan, sohbet uygulamasının istismarı 17 Ocak’taki son güncellemesine kadar düzeltmediğini belirterek Discord’u bilhassa işaret ediyor. Şu anda, öbür toplumsal medyada ve sohbet uygulamalarında paylaşılan imgelerin misal biçimde savunmasız bırakılıp bırakılmadığı ise muhakkak değil.
