La recente scoperta della vulnerabilità nell’editor di screenshot dei telefoni Pixel di Google ha sollevato preoccupazioni sulla sicurezza delle immagini pubblicate o condivise dagli utenti.
Anche se Google ha rilasciato una patch per risolvere il problema, i telefoni Pixel più recenti, come il Pixel 6 Pro, Pixel 6 e Pixel 6a, non hanno ancora ricevuto l’aggiornamento di sicurezza, rendendoli ancora vulnerabili. Inoltre, le immagini già pubblicate o condivise dagli utenti sono a rischio di essere compromesse.
Vediamo cos’è successo e perché è importante prestare attenzione al problema di privacy riscontrato sui dispositivi Google Pixel.
La falla nei dispositivi Google Pixel: gravi problemi di privacy per gli utenti
La vulnerabilità (CVE-2023-21036) è stata scoperta dai ricercatori Simon Aaarons e David Buchanan e soprannominata “aCropalypse”. La falla permette il recupero parziale dei dati dell’immagine originale di uno screenshot ritagliato e/o oscurato, portando con sé il fantasma dell’immagine originale.
Questo significa che se una schermata di un’app è stata ritagliata ed esclusi dei dati sensibili, questi possono essere recuperati da chi sa come sfruttare la vulnerabilità.
Il bug è stato identificato in Markup, l’editor interno per gli screenshot utilizzato sui telefoni Pixel di Google. Secondo i ricercatori, il problema sembra derivare da una modifica a un’API di Android 10, ma è legato all’introduzione dell’editor Markup in Android 9 Pie, avvenuta circa cinque anni fa.
Prima della modifica, l’applicazione Markup troncava automaticamente i file esistenti se la quantità di nuovi dati era inferiore a quella del file originale. Con la modifica, questo comportamento non era più predefinito, e le immagini originali degli screenshot editati con Markup sono state trasportate come “fantasmi” insieme alle immagini modificate.
Falla Google Pixel, la patch risolutiva non è ancora disponibile sui dispositivi più recenti
Google ha rilasciato un aggiornamento di sicurezza per risolvere il problema su Pixel 4A, 5A, 7 e 7 Pro, ma non ancora su Pixel 6 Pro, Pixel 6 e Pixel 6a. Ciò significa che questi telefoni sono ancora vulnerabili. Inoltre, anche gli screenshot realizzati prima della correzione della falla sono a rischio di essere denudati, poiché la vulnerabilità è attiva da Android 10.
Gli autori della scoperta hanno creato uno strumento raggiungibile via web che permette di scoprire la vulnerabilità in azione caricando le proprie immagini e quindi di rivelare le aree ritagliate o le modifiche effettuate.
Tuttavia, questo strumento può essere utilizzato anche da chi ha scopi malevoli ed è in possesso di uno screenshot non suo proveniente da un Pixel.
È importante notare che l’editor Markup è stato utilizzato anche in alcune custom ROM di Android, quindi il problema potrebbe non essere limitato solo ai telefoni Pixel di Google.
Quali social sono sicuri, e quali no
Alcune piattaforme social come Twitter rielaborano le immagini pubblicate, quindi le privano della vulnerabilità. Tuttavia, ci sono piattaforme come Discord in cui questo non avviene.
Discord ha applicato una patch alla propria architettura di gestione delle immagini per risolvere il problema. Tuttavia, tutte le immagini pubblicate prima del 17 gennaio sono ancora vulnerabili.
Pertanto, è importante che gli utenti prestino attenzione alla sicurezza delle loro immagini e, se possibile, evitino di condividere screenshot o immagini sensibili.
In generale, è importante che gli utenti di smartphone siano sempre consapevoli dei potenziali rischi per la sicurezza informatica e adottino le migliori pratiche per proteggere i propri dispositivi e i dati sensibili.
Ciò include l’aggiornamento regolare del software del dispositivo, l’utilizzo di password forti, l’attivazione dell’autenticazione a due fattori e l’evitare di cliccare su link sospetti o di scaricare applicazioni non sicure.
Privacy a rischio sui Google Pixel, cosa succede in sintesi
- •
La vulnerabilità dell’editor di screenshot sui telefoni Pixel di Google rappresenta un serio problema per la sicurezza delle immagini condivise dagli utenti.
- •
Sebbene Google abbia rilasciato una patch per risolvere il problema, i telefoni Pixel più recenti devono ancora ricevere l’aggiornamento di sicurezza e le immagini già pubblicate o condivise dagli utenti sono a rischio di essere compromesse.
- •
Gli utenti devono quindi prestare molta più attenzione alla sicurezza delle loro immagini e adottare le migliori pratiche per proteggere i propri dispositivi e i dati sensibili.