Amanhã, os usuários do Pixel 6 poderão instalar a versão estável do QPR2, que inclui o patch de segurança de março. E enquanto aqueles que instalaram a atualização QPR3 Beta 1 (como o seu verdadeiramente) já possuem o patch de segurança de março, o restante daqueles que usam a série Pixel 6 serão cobertos por uma vulnerabilidade desagradável que permite que um mau ator com conhecimento apenas de um número de telefone para acessar os dados de entrada e saída por meio de uma falha no chip do modem Exynos usado nesses dispositivos.
Outra vulnerabilidade foi corrigida pelo patch de segurança de março, embora a simples instalação da atualização não faça com que todos os seus problemas desapareçam. Conforme
9to5Google, os engenheiros reversos Simon Aaarons e David Buchanan descobriram uma falha apelidada de “aCropalypse” que afeta a própria ferramenta de edição de captura de tela do Pixel, conhecida como Markup. A falha pode permitir que um ator mal-intencionado reverta edições feitas de capturas de tela em PNG na marcação.
A marcação foi lançada como parte do Android 9 Pie em 2018 e permite aos usuários cortar, desenhar, adicionar texto e destacar capturas de tela. Por exemplo, digamos que você tirou uma captura de tela do seu cartão de crédito no site do seu banco. Você recorta tudo, exceto o número do cartão que encobre usando a ferramenta de marcador preto disponível via Markup. Se você compartilhar esta imagem em determinadas plataformas, a vulnerabilidade pode permitir que o invasor veja a maior parte da captura de tela original e não editada antes de ser cortada ou editada.
Exemplo de como a falha aCropalypse pode expor informações pessoais de uma captura de tela editada
Ou seja, as edições podem ser revertidas e as linhas pretas que cobrem o número da conta do cartão desaparecem revelando a informação que estava oculta. De fato, 80% da captura de tela pode ser recuperada, possivelmente permitindo que outras informações pessoais, como endereços, números de telefone e outros dados privados, sejam visualizados.
Isso ocorre porque a marcação salva a captura de tela original pré-editada e pré-cortada no mesmo local de arquivo que a captura de tela editada e nunca exclui a imagem original. Algumas plataformas, como o Twitter, reprocessarão a imagem que remove a falha, Discord, não corrigiu seu site até janeiro, o que significa que as imagens postadas na plataforma antes de 17 de janeiro podem estar vulneráveis.
A falha foi designada no patch de segurança de março como CVE-2023-21036. CVE significa Common Vulnerabilities and Exposures e é usado para identificar, catalogar e promover falhas.
Existe um site que você pode usar em acropalypse.app (ou
toque neste link) para determinar se uma captura de tela que você compartilhou anteriormente pode ser explorada. Considerando que essa vulnerabilidade surgiu pela primeira vez há cinco anos, você pode ter algumas capturas de tela compartilhadas que você editou para ocultar certas informações. Os dados ocultos podem estar em risco dependendo da plataforma em que você os compartilhou, mesmo depois de instalar a atualização de segurança de março em seu telefone Pixel.
