Cuando Google comenzó a implementar Android, la compañía abordó una vulnerabilidad de gravedad «Alta» que involucraba la herramienta de captura de pantalla Markup de Pixel. El fin de semana, y los ingenieros inversos que descubrieron CVE-2023-21036, compartieron más información sobre la falla de seguridad y revelaron que los usuarios de Pixel aún corren el riesgo de que sus imágenes más antiguas se vean comprometidas debido a la naturaleza de la supervisión de Google.
En resumen, la falla «aCropalypse» permitió a alguien tomar una captura de pantalla PNG recortada en Markup y deshacer al menos algunas de las ediciones en la imagen. Es fácil imaginar escenarios en los que un mal actor podría abusar de esa capacidad. Por ejemplo, si el propietario de un Pixel usó Markup para redactar una imagen que incluía información confidencial sobre sí mismo, alguien podría explotar la falla para revelar esa información. Puede encontrar los detalles técnicos en .
Presentamos acropalypse: una grave vulnerabilidad de privacidad en la herramienta de edición de capturas de pantalla incorporada de Google Pixel, Markup, que permite la recuperación parcial de los datos de imagen originales y sin editar de una captura de pantalla recortada o redactada. Muchas gracias a @David3141593 por su ayuda en todo! pic.twitter.com/BXNQomnHbr
— Simón Aarons (@ItsSimonTime) 17 de marzo de 2023
Según Buchanan, la falla existe desde hace unos cinco años, coincidiendo con el lanzamiento de Markup junto con . Y ahí radica el problema. Si bien el parche de seguridad de marzo evitará que Markup comprometa imágenes futuras, algunas capturas de pantalla que los usuarios de Pixel pueden haber compartido en el pasado aún están en riesgo.
Es difícil decir cuán preocupados deberían estar los usuarios de Pixel por la falla. De acuerdo con un próximo Aarons y Buchanan compartido con y , algunos sitios web, incluido Twitter, procesan las imágenes de tal manera que nadie podría aprovechar la vulnerabilidad para revertir la edición de una captura de pantalla o imagen. Los usuarios de otras plataformas no tienen tanta suerte. Aarons y Buchanan identifican específicamente a Discord y señalan que la aplicación de chat no solucionó el exploit hasta su reciente actualización del 17 de enero. Por el momento, no está claro si las imágenes compartidas en otras redes sociales y aplicaciones de chat quedaron igualmente vulnerables.
Google no respondió de inmediato a la solicitud de comentarios y más información de Engadget. La actualización de seguridad de marzo está actualmente disponible en Pixel 4a, 5a, 7 y 7 Pro, lo que significa que Markup aún puede producir imágenes vulnerables en algunos dispositivos Pixel. No está claro cuándo Google enviará el parche a otros dispositivos Pixel. Si tienes un teléfono Pixel sin el parche, evita usar Marcado para compartir imágenes confidenciales.