Một Số Ứng Dụng Cắt Ảnh Đang Tiết Lộ Bí Mật Của Bạn

Vào đầu tháng ba, Google phát hành bản cập nhật cho điện thoại thông minh Pixel đầu bảng của mình để vá một lỗ hổng trong công cụ chỉnh sửa ảnh mặc định của thiết bị, Markup. Kể từ khi giới thiệu vào năm 2018 trong Android 9, công cụ cắt ảnh của Markup đã mặc định để lại dữ liệu trong tệp ảnh đã cắt có thể được sử dụng để tái tạo một phần hoặc toàn bộ hình ảnh gốc nằm ngoài ranh giới của việc cắt. Mặc dù hiện đã được sửa, lỗ hổng này là quan trọng vì người dùng Pixel đã trong nhiều năm qua tạo ra, và trong nhiều trường hợp có lẽ là chia sẻ, những bức ảnh đã cắt mà vẫn có thể chứa dữ liệu riêng tư hoặc nhạy cảm mà người dùng đang cố gắng loại bỏ. Nhưng tình hình trở nên tồi tệ hơn.

The bug, dubbed “aCropalypse,” was discovered and originally submitted to Google by security researcher and college student Simon Aarons, who collaborated on the work with fellow reverse engineer David Buchanan. The pair were stunned to discover this week that a very similar version of the vulnerability is also present in other photo-cropping utilities from a totally separate yet equally ubiquitous codebase: Windows. The Windows 11 Snipping Tool and Windows 10 Snip & Sketch tool are vulnerable in cases where a user takes a screenshot, saves it, crops the screenshot, and then saves the file again. Photos cropped with Markup, meanwhile, retained too much data even when the user applied the crop before first saving the photo. 

Microsoft thông báo cho MYTOUR vào thứ Tư rằng họ “nhận thức về những báo cáo này” và đang “điều tra,” thêm rằng, “chúng tôi sẽ thực hiện hành động cần thiết.”

“Điều này thực sự làm tôi ngỡ ngàng, như là nếu sét đánh hai lần,” nói Buchanan. “Lỗ hổng ban đầu trên Android đã đủ ngạc nhiên vì nó chưa được phát hiện trước đó. Điều đó thật khó tin.”

Bây giờ khi những lỗ hổng đã được tiết lộ, các nhà nghiên cứu đã bắt đầu khám phá các cuộc thảo luận cũ trên các diễn đàn lập trình nơi các nhà phát triển nhận thấy hành vi kỳ lạ của các công cụ cắt ảnh. Nhưng Aarons có vẻ là người đầu tiên nhận ra các tác động đến an ninh và quyền riêng tư - hoặc ít nhất là người đầu tiên đưa ra các kết luận cho Google và Microsoft.

“Thực sự, tôi phát hiện ra vào khoảng 4 giờ sáng hoàn toàn tình cờ khi tôi nhận thấy rằng một bức ảnh nhỏ tôi gửi với chữ trắng trên nền đen là một tệp 5 MB, và điều đó không hợp lý với tôi,” Aarons nói.

Hình ảnh bị ảnh hưởng bởi aCropalypse thường không thể được phục hồi hoàn toàn, nhưng chúng có thể được tái tạo đáng kể. Aarons đã cung cấp ví dụ, bao gồm một trường hợp trong đó anh ta đã có thể khôi phục lại số thẻ tín dụng của mình sau khi anh ta cố gắng cắt nó ra khỏi một bức ảnh. Nói một cách ngắn gọn, có một số ảnh ở đó chứa nhiều thông tin hơn nên có - cụ thể là thông tin mà ai đó cố ý cố gắng loại bỏ.

Microsoft hiện chưa phát hành bất kỳ bản vá nào, nhưng thậm chí những bản vá do Google phát hành cũng không làm giảm tình hình cho các tệp ảnh hiện tại đã được cắt trong những năm khi công cụ vẫn còn yếu đi. Tuy nhiên, Google lưu ý rằng các tệp ảnh được chia sẻ trên một số dịch vụ truyền thông xã hội và truyền thông có thể tự động loại bỏ dữ liệu lỗi.

“Là một phần của quy trình nén hiện tại của họ, các ứng dụng và trang web tái nén ảnh, như Twitter, Instagram, hoặc Facebook, tự động xóa dữ liệu phụ từ các hình ảnh được tải lên. Hình ảnh đăng trên các trang web như thế này không có nguy cơ,” Ed Fernandez, người phát ngôn của Google nói trong một tuyên bố.

Tuy nhiên, các nhà nghiên cứu lưu ý rằng điều này không đúng với tất cả các nền tảng, bao gồm cả Discord.

Là người dùng của Discord, Buchanan nói rằng anh ta liên tục thấy người đăng ảnh chụp màn hình đã cắt, và thật khó khăn khi không nói gì trước khi lỗ hổng được công bố công khai.

Steven Murdoch, một giáo sư kỹ thuật an ninh tại Trường Đại học London, lưu ý rằng vào năm 2004, anh phát hiện một lỗ hổng trong đó một phiên bản cũ của một hình ảnh được lưu trong dữ liệu hình thu nhỏ cho hình ảnh ngay cả sau khi nó đã bị thay đổi.  

“Đây không phải là lần đầu tiên tôi thấy loại lỗ hổng như vậy,” Murdoch nói. “Và tôi nghĩ rằng lý do là khi phần mềm được viết, nó được kiểm tra để đảm bảo rằng điều bạn mong đợi đang ở đó. Bạn lưu một hình ảnh, bạn có thể mở hình ảnh, và sau đó bạn đã xong. Điều không được kiểm tra là liệu có dữ liệu thừa được lưu trữ một cách ngẫu nhiên hay không.”

Lỗ hổng hình thu nhỏ mà Murdoch phát hiện vào năm 2004 có đặc điểm tư duy tương tự với aCropalypse từ góc độ bảo mật dữ liệu nhưng có các cơ sở kỹ thuật rất khác biệt do vấn đề trong thiết kế giao diện lập trình ứng dụng. Murdoch nhấn mạnh rằng trong khi anh ta xem aCropalypse là một vấn đề cho những người dùng mà ảnh của họ đã bị ảnh hưởng và đã được công bố, ảnh hưởng lớn nhất có thể đến từ các cuộc thảo luận nó đã tạo ra về cách thúc đẩy các thực hành bảo mật tốt hơn trong phát triển và triển khai API.

“Điều này đã khởi đầu một số cuộc trò chuyện thú vị về thiết kế API và bạn làm gì để dạy người ta tránh loại lỗ hổng như vậy trong tương lai? Điều này không phải là điều chúng ta đào tạo người ta xử lý,” Murdoch nói. “Đây không phải là một trong những lỗ hổng ‘trời đang rơi xuống,’ nhưng cũng không phải là điều tốt.”