Bug na marcação do Google, ferramentas de corte de fotos do Windows expõem dados de imagem removidos

No inicio Em março, o Google lançou uma atualização para seus principais smartphones Pixel para corrigir uma vulnerabilidade na ferramenta de edição de fotos padrão dos dispositivos, Markup. Desde sua introdução em 2018 no Android 9, a ferramenta de corte de fotos do Markup vinha deixando dados silenciosamente em um arquivo de imagem recortado que poderia ser usado para reconstruir parte ou toda a imagem original além dos limites do corte. Embora agora corrigida, a vulnerabilidade é significativa porque os usuários do Pixel há anos criam e, em muitos casos, presumivelmente compartilham, imagens cortadas que ainda podem conter os dados privados ou confidenciais que o usuário estava tentando eliminar. Mas fica pior.

O bug, apelidado de “aCropalypse”, foi descoberto e originalmente enviado ao Google pelo pesquisador de segurança e estudante universitário Simon Aarons, que colaborou no trabalho com o colega engenheiro reverso David Buchanan. A dupla ficou surpresa ao descobrir esta semana que uma versão muito semelhante da vulnerabilidade também está presente em outros utilitários de recorte de fotos de uma base de código totalmente separada, mas igualmente onipresente: o Windows. A ferramenta de recorte do Windows 11 e a ferramenta de recorte e esboço do Windows 10 são vulneráveis ​​nos casos em que um usuário faz uma captura de tela, salva-a, recorta a captura de tela e salva o arquivo novamente. As fotos cortadas com marcação, por sua vez, retinham muitos dados, mesmo quando o usuário aplicava o corte antes de salvar a foto.

A Microsoft disse à WIRED na quarta-feira que está “ciente desses relatórios” e que está “investigando”, acrescentando: “tomaremos as medidas necessárias”.

“Foi realmente alucinante, foi como se um raio tivesse acabado de cair duas vezes”, diz Buchanan. “A vulnerabilidade original do Android já era tão surpreendente que ainda não havia sido descoberta. Foi bem surreal.”

Agora que as vulnerabilidades estão abertas, os pesquisadores começaram a descobrir discussões antigas em fóruns de programação onde os desenvolvedores notaram o comportamento estranho das ferramentas de corte. Mas Aarons parece ter sido o primeiro a reconhecer as possíveis implicações de segurança e privacidade – ou pelo menos o primeiro a levar as descobertas ao Google e à Microsoft.

“Na verdade, notei por volta das 4 da manhã por acidente total quando notei que uma pequena captura de tela que enviei de texto branco em um fundo preto era um arquivo de 5 MB e isso não parecia certo para mim”, diz Aarons.

As imagens afetadas pelo aCropalypse muitas vezes não podem ser completamente recuperadas, mas podem ser substancialmente reconstruídas. Aarões exemplos fornecidos, incluindo uma em que ele conseguiu recuperar o número do cartão de crédito depois de tentar cortá-lo de uma foto. Resumindo, existe uma população de fotos por aí que contém mais informações do que deveriam – especificamente, informações que alguém tentou remover intencionalmente.

A Microsoft ainda não lançou nenhuma correção, mas mesmo as lançadas pelo Google não atenuam a situação dos arquivos de imagem existentes cortados nos anos em que a ferramenta ainda era vulnerável. O Google aponta, porém, que os arquivos de imagem compartilhados em algumas mídias sociais e serviços de comunicação podem remover automaticamente os dados errôneos.