Simon Aarons e David Buchanan, due ricercatori di cybersicurezza, hanno scoperto un’enorme vulnerabilità nello strumento di modifica degli screenshot di Google Pixel. La vulnerabilità consente agli hacker di annullare qualsiasi modifica apportata all’immagine, scoprendo potenzialmente informazioni sensibili.
Con l’aggiornamento di sicurezza Android 2023, Google ha risolto due vulnerabilità particolarmente pericolose: la vulnerabilità del processore Exynos, di cui abbiamo già parlato e un’altra debolezza scoperta nello strumento di modifica degli screenshot dei Google Pixel. Purtroppo, quest’ultima rappresenta ancora un rischio significativo per gli utenti.
La falla è stata scoperta da Simon Aarons e David Buchanan a gennaio. Chiamata “aCropalypse” (un gioco di parole con la parola “crop”), consente a un hacker di annullare le modifiche apportate a un’immagine. In altre parole, se si pubblica una foto sui social network dopo aver cancellato o coperto alcuni elementi, un hacker può tornare indietro e accedere all’immagine originale.
Se hai una foto sul tuo Pixel, i tuoi dati potrebbero essere esposti
Questa vulnerabilità è particolarmente pericolosa per chi ha pubblicato un’immagine con il proprio indirizzo, numero di telefono o, peggio ancora, i propri dati bancari, pensando che nascondere queste informazioni dietro a delle modifiche fosse sufficiente a proteggerli. Secondo i ricercatori di sicurezza informatica, con questa falla gli hacker potrebbero recuperare l’80% dell’immagine originale.
Il problema risiede nella gestione dello storage dei Google Pixel. In pratica, gli smartphone salvano l’immagine originale e la versione modificata nello stesso posto. Tuttavia, quest’ultima non viene cancellata dal dispositivo, permettendo così a un malintenzionato di rintracciarla. In effetti, sebbene la falla sia stata nel frattempo corretta, tutte le foto postate prima del 2023 comportano un rischio.
“Fortunatamente, la maggior parte dei social network rielabora le immagini caricate, eliminando i dati di tracciamento e mitigando la vulnerabilità. Ad esempio, Twitter è al sicuro dall’aCropalypse”, rassicurano i ricercatori. Tuttavia, non si può dire lo stesso per Discord, che è una delle piattaforme preferite dagli hacker.