في البداية في شهر مارس ، أصدرت Google تحديثًا لهواتفها الذكية Pixel الرائدة لتصحيح ثغرة أمنية في أداة تحرير الصور الافتراضية للأجهزة ، Markup. منذ تقديمها عام 2018 في Android 9 ، كانت أداة اقتصاص الصور الخاصة بـ Markup تترك البيانات بهدوء في ملف صورة تم اقتصاصه يمكن استخدامه لإعادة بناء بعض أو كل الصورة الأصلية خارج حدود المحصول. على الرغم من إصلاحها الآن ، إلا أن الثغرة الأمنية مهمة لأن مستخدمي Pixel كانوا يصنعون منذ سنوات ، وفي كثير من الحالات يفترض أنهم يشاركون ، صورًا تم اقتصاصها والتي قد لا تزال تحتوي على البيانات الخاصة أو الحساسة التي كان المستخدم يحاول إزالتها. لكن الأمر يزداد سوءًا.
تم اكتشاف الخطأ ، المسمى “aCropalypse” ، وتقديمه في الأصل إلى Google بواسطة الباحث الأمني والطالب الجامعي سيمون آرونز ، الذي تعاون في العمل مع زميله المهندس العكسي ديفيد بوكانان. لقد ذهل الزوجان هذا الأسبوع لاكتشاف أن نسخة مشابهة جدًا من الثغرة موجودة أيضًا في أدوات أخرى لاقتصاص الصور من قاعدة بيانات منفصلة تمامًا ولكنها موجودة في كل مكان: Windows. تكون أداة Windows 11 Snipping Tool و Windows 10 Snip & Sketch ضعيفة في الحالات التي يأخذ فيها المستخدم لقطة شاشة ويحفظها ويقطع لقطة الشاشة ثم يحفظ الملف مرة أخرى. في غضون ذلك ، احتفظت الصور التي تم اقتصاصها باستخدام Markup بالكثير من البيانات حتى عندما قام المستخدم بتطبيق القص قبل حفظ الصورة لأول مرة.
أخبرت Microsoft WIRED يوم الأربعاء أنها “على علم بهذه التقارير” وأنها “تحقق” ، مضيفة ، “سنتخذ الإجراءات اللازمة حسب الحاجة”.
يقول بوكانان: “كان الأمر مذهلاً حقًا ، كما لو أن البرق ضرب للتو مرتين”. “كانت ثغرة Android الأصلية مفاجئة بالفعل لدرجة أنها لم يتم اكتشافها بالفعل. كان الأمر سرياليًا تمامًا “.
الآن بعد أن تم الكشف عن الثغرات الأمنية ، بدأ الباحثون في الكشف عن المناقشات القديمة في منتديات البرمجة حيث لاحظ المطورون السلوك الغريب لأدوات الاقتصاص. ولكن يبدو أن آرونز كان أول من أدرك الآثار المحتملة للأمان والخصوصية – أو على الأقل أول من قدم النتائج إلى Google و Microsoft.
يقول آرونز: “لقد لاحظت ذلك في حوالي الساعة الرابعة صباحًا عن طريق الصدفة الكاملة عندما اكتشفت أن لقطة شاشة صغيرة أرسلتها لنص أبيض على خلفية سوداء كانت عبارة عن ملف بحجم 5 ميغا بايت ، وهذا لا يبدو مناسبًا لي”.
غالبًا لا يمكن استعادة الصور المتأثرة بـ aCropalypse تمامًا ، ولكن يمكن إعادة بنائها بشكل كبير. آرونز قدمت أمثلة، بما في ذلك واحدة تمكن فيها من استعادة رقم بطاقته الائتمانية بعد محاولته اقتطاعها من صورة. باختصار ، هناك مجموعة من الصور التي تحتوي على معلومات أكثر مما ينبغي – على وجه التحديد ، المعلومات التي حاول شخص ما عمدًا إزالتها.
لم تصدر Microsoft أي إصلاحات حتى الآن ، ولكن حتى تلك التي أصدرتها Google لا تخفف من حالة ملفات الصور الحالية التي تم اقتصاصها في السنوات التي كانت فيها الأداة لا تزال ضعيفة. تشير Google ، على الرغم من ذلك ، إلى أن ملفات الصور التي تتم مشاركتها على بعض وسائل التواصل الاجتماعي وخدمات الاتصالات قد تجرد البيانات الخاطئة تلقائيًا.
