Se ha descubierto una vulnerabilidad que afecta a los usuarios de Google Pixel con una vulnerabilidad que podría haber expuesto la información más confidencial de los usuarios y puede continuar haciéndolo en ciertos casos.
Aunque Google emitió una corrección para CVE-2023-21036 en su actualización de marzo (se abre en una pestaña nueva)la vulnerabilidad de alto riesgo ha permitido a los piratas informáticos deshacer muchas ediciones realizadas en imágenes en dispositivos Pixel.
Se relaciona específicamente con la función Marcado, que permite a los usuarios editar fotos para eliminar información confidencial de imágenes como tarjetas bancarias, ya sea recortando ciertos aspectos o aplicando capas visuales sobre elementos.
Vulnerabilidad de marcado de píxeles
Según los ingenieros inversos Simón Aarons (se abre en una pestaña nueva) y david buchanan (se abre en una pestaña nueva)que descubrió el problema, con una imagen editada, y aparentemente segura, un actor malintencionado podría, en algunos casos, revertir dichas ediciones para exponer información confidencial en una vulnerabilidad que se denomina «acropalypse».
Si bien muchos de nosotros preferimos compartir imágenes a través de canales que prefieren algunos o todos sus metadatos, como Discord, esto ha demostrado ser menos seguro y expone la vulnerabilidad. Vale la pena mencionar que Discord solucionó el problema a mediados de enero de 2023. Por el contrario, las plataformas como Twitter procesan las imágenes de una manera diferente y, a su vez, hacen que las ediciones sean irreversibles.
La falla proviene de Android 9 Pie, que coincide con la familia Pixel 3, lo que significa que también se dice que las familias de modelos 4, 5, 6 y la última 7 se han visto afectadas.
Dada la antigüedad de algunos dispositivos, actualmente solo el Pixel 4a y los más nuevos reciben actualizaciones de seguridad (se abre en una pestaña nueva) dejando algunos modelos anteriores, incluido el 4 y todo lo anterior, sin soporte oficial, por lo que siguen siendo vulnerables.
Además, las capturas de pantalla editadas enviadas antes de que se implementaran las actualizaciones siguen siendo vulnerables y, como tales, deben eliminarse cuando sea posible.
TechRadar Pro ha pedido a Google que confirme si todavía hay dispositivos que continúan exponiendo la vulnerabilidad y, de ser así, si se repararán.