Google は Pixel の「マークアップ」ツールで発見された脆弱性 (CVE-2023-21036) を 3 月のアップデートで修正したが、これを利用するエクスプロイト「aCropalypse」が公開されている (エクスプロイト作者のブログ記事、 9to5Google の記事、 Android Police の記事、 Simon Aarons 氏のツイート)。

マークアップはスクリーンショット撮影時に表示され、画像のクロップや書き込み・塗りつぶし等を可能にする。CVE-2023-21036 では編集の結果を保存する際にファイルサイズを切り詰めずに新しい画像データを上書きするため、元のデータが一部残されてしまう。具体的な処理を知ることは難しいが、エクスプロイト作者の David Buchanan 氏は Android 10 以降で 2021 年に修正された ParcelFileDescriptor.parseMode のバグとみているようだ。

脆弱性が修正されても既に保存したファイルが更新されるわけではない。このような画像をソーシャルメディアアプリやメッセージングアプリなどで送信する場合、読み取れない元の画像データはメタデータとともに削除されるが、Discord では 1 月までこのような処理が行われていなかったという。そのため、それ以前にアップロードしたスクリーンショットでは、隠したつもりの部分が復元されてしまう可能性がある。

エクスプロイトの作者が過去に使用していた Pixel 3XL のスクリーンショットを Discord からダウンロードして復元処理を行ってみたところ、eBay の確認メールのスクリーンショットから自宅住所全体が復元されたそうだ。なお、復元処理はすべてローカルで行われるとのことだ。

すべて読む | セキュリティセクション | グラフィック | Google | セキュリティ | バグ | 携帯電話 | Android | プライバシ |

関連ストーリー：
明るい肌色優先で話題になった Twitter のアルゴリズム、若さやスリムさも優先されることが明らかに 2021年08月14日
Twitter、画像をクロップせずにタイムライン表示する機能をAndroidとiOSでテスト中 2021年03月13日
Twitter、明るい肌色優先が話題になった画像自動クロップで投稿者の選択肢を増やすなどの改善を計画 2020年10月06日
Twitterの画像自動クロップ表示機能、明るい肌色が優先されると話題に 2020年09月23日
財務省が公開した「森友学園」交渉記録文書、黒塗りが簡単に外せる状態だった 2018年05月29日
オンライン公開された政府文章、Ctrl+Aで「非公開の情報」が読めてしまった 2011年04月22日
米軍の機密情報がコピペで漏れる 2005年05月24日
岩手県が氏名を「非表示」にしただけで個人情報を公開 2002年06月02日