最近使用Google Pixel 手機(jī)的用戶需要注意，你打過碼的照片未必安全！

安全研究人員 Simon Aarons 和 David Buchanan 最近在推特披露稱，Google Pixel 自帶的照片編輯工具M(jìn)arkup存在一個(gè)名為“Acropalypse的安全漏洞，能夠還原用戶照片中已經(jīng)打碼或裁剪掉的內(nèi)容。

Aarons 分享了一個(gè)示例，演示他們?nèi)绾问褂?Acropalypse 漏洞恢復(fù)上傳到 Discord 的信用卡照片。最開始，該信用卡卡號(hào)碼已使用Markup工具進(jìn)行了打碼處理。但當(dāng)他們的利用Acropalypse exploit 運(yùn)行照片后，已經(jīng)被打碼的卡號(hào)信息得到了還原。

Acropalypse 示例

據(jù)悉，這兩名研究人員于今年1月向谷歌報(bào)告了該漏洞，谷歌也與3月13日發(fā)布的更新中對其進(jìn)行了修復(fù)。分析指出，經(jīng)過Markup編輯處理的照片有大約80%能夠被恢復(fù)，如果用戶將未壓縮的圖片發(fā)布至互聯(lián)網(wǎng)或社交平臺(tái)，就可能導(dǎo)致敏感信息泄露。當(dāng)然，一些平臺(tái)會(huì)自動(dòng)壓縮、重新編碼上傳的照片，從而在一定程度上減少了信息泄露的范圍。

雖然Acropalypse漏洞已經(jīng)得到修復(fù)，但仍需值得注意的是，漏洞存在的時(shí)間長達(dá)5年之久，這期間已經(jīng)共享出去的照片難以計(jì)數(shù)，且沒有任何補(bǔ)救措施。此外，該漏洞廣泛存在于所有運(yùn)行 Android 9 Pie 及更高版本的 Pixel 型號(hào)手機(jī)中，一些較老型號(hào)的手機(jī)并不會(huì)在第一時(shí)間得到安全更新，安全風(fēng)險(xiǎn)依然存在。

最后，Acropalypse漏洞還會(huì)影響其他品牌的定制化Android手機(jī)，可能完全沿用原生的Markup對照片進(jìn)行編輯。