Mañana, los usuarios de Pixel 6 deberían poder instalar la versión estable de QPR2 que incluye el parche de seguridad de marzo. Y aunque aquellos que instalaron la actualización QPR3 Beta 1 (como la suya) ya tienen el parche de seguridad de marzo, el resto de los que usan la serie Pixel 6 estarán cubiertos de una vulnerabilidad desagradable que permite que un mal actor conozca solo un número de teléfono. para acceder a los datos entrantes y salientes a través de una falla en el chip del módem Exynos utilizado en estos dispositivos.
El parche de seguridad de marzo corrige otra vulnerabilidad, aunque la simple instalación de la actualización no hará que todos sus problemas desaparezcan. según 9to5Google, los ingenieros inversos Simon Aaarons y David Buchanan descubrieron una falla denominada «aCropalypse» que afecta la propia herramienta de edición de capturas de pantalla de Pixel, conocida como Markup. La falla podría permitir que un mal actor revierta ediciones hechas de capturas de pantalla PNG en Markup.
El marcado se lanzó como parte de Android 9 Pie en 2018 y permite a los usuarios recortar, dibujar, agregar texto y resaltar capturas de pantalla. Como ejemplo, supongamos que tomó una captura de pantalla de su tarjeta de crédito del sitio web de su banco. Recorta todo excepto el número de tarjeta que cubre con la herramienta de marcador negro disponible a través de Marcado. Si comparte esta imagen en ciertas plataformas, la vulnerabilidad puede permitir que el atacante vea la mayor parte de la captura de pantalla original sin editar antes de que sea recortada o editada.
Ejemplo de cómo la falla aCropalypse puede exponer información personal de una captura de pantalla editada
En otras palabras, las ediciones se pueden revertir y las líneas negras que cubren el número de cuenta de la tarjeta desaparecerán y revelarán la información que estaba oculta. De hecho, el 80% de la captura de pantalla se puede recuperar, lo que posiblemente permita ver otra información personal, como direcciones, números de teléfono y otros datos privados.
Esto ocurre porque Markup guarda la captura de pantalla original recortada y editada previamente en la misma ubicación de archivo que la captura de pantalla editada y nunca elimina la imagen original. Algunas plataformas, como Twitter, volverán a procesar la imagen que elimina la falla. Discord no parchó su sitio hasta enero, lo que significa que las imágenes publicadas en la plataforma antes del 17 de enero podrían ser vulnerables.
La falla fue designada en el parche de seguridad de marzo como CVE-2023-21036. CVE significa Vulnerabilidades y exposiciones comunes y se utiliza para identificar, catalogar y promover fallas.
Hay un sitio web que puede usar en acropalypse.app (o toque este enlace) para determinar si una captura de pantalla que compartió anteriormente puede ser explotada. Teniendo en cuenta que esta vulnerabilidad apareció por primera vez hace cinco años, es posible que tenga algunas capturas de pantalla compartidas que editó para ocultar cierta información. Los datos ocultos podrían estar en riesgo según la plataforma en la que los haya compartido, incluso después de instalar la actualización de seguridad de marzo en su teléfono Pixel.