Publicado originalmente por Wired
As ferramentas de edição de imagem do Google e da Microsoft contêm o bug “aCropalypse”, que pode revelar informações que os usuários removeram intencionalmente.
Em março, o Google lançou uma atualização para seus principais smartphones Pixel para corrigir uma vulnerabilidade na ferramenta de edição de fotos padrão dos dispositivos, Markup. Desde sua introdução em 2018 no Android 9, a ferramenta de corte de fotos do Markup vinha deixando dados silenciosamente em um arquivo de imagem recortado que poderia ser usado para reconstruir parte ou toda a imagem original além dos limites do corte. Embora agora corrigida, a vulnerabilidade é significativa porque os usuários do Pixel há anos criam e, em muitos casos, presumivelmente compartilham, imagens cortadas que ainda podem conter os dados privados ou confidenciais que o usuário estava tentando eliminar. Mas fica pior.
O bug, apelidado de “aCropalypse”, foi descoberto e originalmente enviado ao Google pelo pesquisador de segurança e estudante universitário Simon Aarons, que colaborou no trabalho com o colega engenheiro reverso David Buchanan. A dupla ficou surpresa ao descobrir esta semana que uma versão muito semelhante da vulnerabilidade também está presente em outros utilitários de recorte de fotos de uma base de código totalmente separada, mas igualmente onipresente: o Windows. A ferramenta de recorte do Windows 11 e a ferramenta de recorte e esboço do Windows 10 são vulneráveis nos casos em que um usuário faz uma captura de tela, salva-a, recorta a captura de tela e salva o arquivo novamente. As fotos cortadas com marcação, por sua vez, retinham muitos dados, mesmo quando o usuário aplicava o corte antes de salvar a foto.
A Microsoft disse à WIRED na quarta-feira que está “ciente desses relatórios” e que está “investigando”, acrescentando: “tomaremos as medidas necessárias”.
“Foi realmente alucinante, foi como se um raio tivesse acabado de cair duas vezes”, diz Buchanan. “A vulnerabilidade original do Android já era tão surpreendente que ainda não havia sido descoberta. Foi bem surreal.”
Agora que as vulnerabilidades estão abertas, os pesquisadores começaram a descobrir discussões antigas em fóruns de programação onde os desenvolvedores notaram o comportamento estranho das ferramentas de corte. Mas Aarons parece ter sido o primeiro a reconhecer as possíveis implicações de segurança e privacidade – ou pelo menos o primeiro a levar as descobertas ao Google e à Microsoft…
Veja o artigo completo no site Wired