Een kwetsbaarheid die is gevonden in Pixel-toestellen, kan flinke gevolgen hebben. Wanneer een gebruiker een schermafbeelding heeft gemaakt en deze heeft bijgesneden, kan dat croppen ongedaan gemaakt worden door dit lek. Wat is er aan de hand?
Screenshot-kwetsbaarheid in Pixel-toestellen
Twee reverse engineers hebben een kwetsbaarheid ontdekt in de Pixel-toestellen van Google. De kwetsbaarheid is weliswaar aangepakt met de beveiligingsupdate van maart, het probleem is niet voor iedereen daarmee direct verholpen. Op hun blog gaan ze dieper in op de technische kant. Het lek zorgt ervoor dat er misbruik gemaakt kan worden van de zogenaamde markup-screenshottool, waarmee screenshots gemaakt en bewerkt kunnen worden.
En bij het bewerken is er een specifiek lek gevonden. Hierbij is het voor een kwaadwillende mogelijk om het bijsnijden van een screenshot, het zogenaamde croppen, ongedaan te maken. Hierdoor kunnen gegevens die eerder waren weggesneden, toch weer tevoorschijn gehaald worden. Dit kan zomaar betekenen dat gegevens als adressen, een bankrekeningnummer of andere gevoelige informatie weer zichtbaar wordt. Zeker wanneer je deze screenshots bijvoorbeeld op sociale media hebt gedeeld.
De kwetsbaarheid in deze tool zit er al sinds 2018 in. Hoewel deze met de maart-update van dit jaar aangepakt wordt, geldt dit niet voor oude screenshots die gedeeld zijn. De ontdekkers van de kwetsbaarheid laten weten dat ook ieder (sociaal) netwerk er anders mee omgaat. Zo gaat Twitter anders met de verwerking van de beelden om dan bijvoorbeeld Discord. Via Twitter lijkt er vrijwel geen gevaar te zijn, omdat zij de beeldverwerking anders uitvoeren; terwijl Discord dat tot voor kort wel toestond. Dat lek is bij dat sociale netwerk pas medio januari gedicht. Onbekend is in hoeverre het lek in de Pixel-telefoons wijdverspreid is en of er al veel misbruik van is gemaakt.
