Hafta sonu, CVE-2023-21036’yı keşfeden bilakis mühendisler Simon Aarons ve David Buchanan, güvenlik açığı hakkında daha fazla bilgi paylaştılar ve Pixel kullanıcılarının, Google’ın nezaretinin tabiatı gereği eski imgelerinin kapalılığının ihlal edilmesi riskinin hala devam ettiğini ortaya çıkardılar.
- Reklam -
Kısacası, “aCropalypse” kusuru, birisinin İşaretlemede kırpılmış bir PNG ekran imgesi almasına ve manzaradaki düzenlemelerin en azından kimilerini geri almasına müsaade veriyor. Makûs bir aktörün bu yeteneği berbata kullanabileceği senaryoları hayal etmek epey kolay. Örneğin, bir Piksel sahibi kendisi hakkında hassas bilgiler içeren bir resmi yine düzenlemek için İşaretleme’yi kullanırsa, birisi bu bilgiyi ortaya çıkarmak için bu açıktan yararlanabilir.
Google Pixel güvenlik açığı ile gündemde
Buchanan’a nazaran açık, 2018’de Android 9 Pie ile birlikte Markup’ın piyasaya sürülmesiyle tıpkı vakte denk gelen yaklaşık beş yıllık süreçte var. Ve sorun da burada yatıyor. Mart güvenlik düzeltme güncellemesi, İşaretleme’nin gelecekteki manzaraları tehlikeye atmasını engelleyecek olsa da, Pixel kullanıcılarının geçmişte paylaşmış olabileceği birtakım ekran imajları hala risk altında.
- Reklam -
Pixel kullanıcılarının bu açıkla ilgili ne derece endişelenmeleri gerektiğini söylemek güç. Aarons ve Buchanan’ın 9to5Google ve The Verge ile paylaştığı bir SSS sayfasına nazaran, Twitter da dahil olmak üzere birtakım web siteleri, imgeleri, birisinin bir ekran imgesini yahut imgeyi bilakis çevirmek için güvenlik açığından yararlanamayacağı biçimde işleyebiliyor. Fakat öbür platformlardaki kullanıcılar o kadar şanslı değil. Aarons ve Buchanan, sohbet uygulamasının istismarı 17 Ocak’taki son güncellemesine kadar düzeltmediğini belirterek Discord’u bilhassa işaret ediyor. Şu anda, başka toplumsal medyada ve sohbet uygulamalarında paylaşılan manzaraların benzeri halde savunmasız bırakılıp bırakılmadığı ise aşikâr değil.