Al principio de marzo, Google lanzó una actualización para sus teléfonos inteligentes insignia Pixel para corregir una vulnerabilidad en la herramienta de edición de fotos predeterminada de los dispositivos, Markup. Desde su presentación en 2018 en Android 9, la herramienta de recorte de fotos de Markup ha dejado silenciosamente datos en un archivo de imagen recortada que podría usarse para reconstruir parte o la totalidad de la imagen original más allá de los límites del recorte. Aunque ahora se solucionó, la vulnerabilidad es significativa porque los usuarios de Pixel han estado creando durante años, y en muchos casos presumiblemente compartiendo, imágenes recortadas que aún pueden contener los datos privados o confidenciales que el usuario estaba tratando de eliminar. Pero se pone peor.
El error, denominado «aCropalypse», fue descubierto y enviado originalmente a Google por el investigador de seguridad y estudiante universitario Simon Aarons, quien colaboró en el trabajo con el ingeniero inverso David Buchanan. La pareja se sorprendió al descubrir esta semana que una versión muy similar de la vulnerabilidad también está presente en otras utilidades de recorte de fotografías de un código base totalmente separado pero igualmente ubicuo: Windows. La herramienta de recorte de Windows 11 y la herramienta de recorte y boceto de Windows 10 son vulnerables en los casos en que un usuario toma una captura de pantalla, la guarda, recorta la captura de pantalla y luego guarda el archivo nuevamente. Mientras tanto, las fotos recortadas con Markup retenían demasiados datos incluso cuando el usuario aplicaba el recorte antes de guardar la foto por primera vez.
Microsoft le dijo a WIRED el miércoles que está «al tanto de estos informes» y que está «investigando», y agregó que «tomaremos las medidas necesarias».
“Fue realmente alucinante, fue como si un rayo hubiera caído dos veces”, dice Buchanan. “La vulnerabilidad original de Android ya era lo suficientemente sorprendente como para no haber sido descubierta todavía. Fue bastante surrealista”.
Ahora que las vulnerabilidades están a la vista, los investigadores han comenzado a descubrir viejas discusiones en foros de programación donde los desarrolladores notaron el extraño comportamiento de las herramientas de recorte. Pero Aarons parece haber sido el primero en reconocer las posibles implicaciones de seguridad y privacidad, o al menos el primero en llevar los hallazgos a Google y Microsoft.
“De hecho, lo noté alrededor de las 4 de la mañana por accidente total cuando descubrí que una pequeña captura de pantalla que envié de texto blanco sobre un fondo negro era un archivo de 5 MB, y eso no me pareció correcto”, dice Aarons.
Las imágenes afectadas por aCropalypse a menudo no se pueden recuperar por completo, pero se pueden reconstruir sustancialmente. Aarones ejemplos proporcionados, incluido uno en el que pudo recuperar su número de tarjeta de crédito después de intentar recortarlo de una foto. En resumen, existe una población de fotos que contienen más información de la que deberían, específicamente, información que alguien intentó eliminar intencionalmente.
Microsoft aún no ha publicado ninguna corrección, pero incluso las publicadas por Google no mitigan la situación de los archivos de imagen existentes recortados en los años en que la herramienta aún era vulnerable. Sin embargo, Google señala que los archivos de imágenes compartidos en algunas redes sociales y servicios de comunicación pueden eliminar automáticamente los datos erróneos.