Exploit in Pixel-telefoons kan croppen van screenshots ongedaan maken

Google loste met de beveiligingsupdate van maart een “zeer ernstige” kwetsbaarheid op die betrekking had op de markup-screenshottool op Pixel-telefoons. Twee reverse engineers ontdekten dit weekend meer details over deze kwetsbaarheid. Zij constateerden dat Pixel-gebruikers nog steeds risico lopen als ze deze tool hebben gebruikt. Dit is er aan de hand.

Exploit in markup-screenshottool: de korte uitleg

Je kan in de markup-screenshottool op Pixel-telefoons PNG-screenshots maken en bewerken. Eén van die bewerkingsopties is het ‘croppen’ of bijsnijden van de screenshot. De twee reverse engineers Simon Aarons en David Buchanan kwamen erachter dat een zogenaamde “aCropalypse”-exploit het mogelijk maakte om dat croppen van de screenshot ongedaan te maken.

Het zou dus mogelijk kunnen zijn om gevoelige informatie, die op de screenshot zijn weggehaald via croppen, weer tevoorschijn te halen. Een crimineel kan die informatie misbruiken en het slachtoffer ermee chanteren. Heb je bijvoorbeeld een rekeningnummer op een bankpas weggehaald via Markup en de screenshot vervolgens gedeeld met iemand? Dan kan de ontvanger die bewerkingen ongedaan maken. In feite kan 80% van het screenshot worden hersteld, waardoor persoonlijke informatie zoals adressen, telefoonnummers en andere privégegevens kunnen worden bekeken. Heb je de bewerkte screenshot op sociale media gedeeld, dan kun je in sommige gevallen nog meer risico lopen.

De twee reverse engineers die dit hebben ontdekt, leggen de werking ervan in dit artikel op hun blog uit.

Er is nog steeds een risico

Volgens Buchanan bestaat de exploit al zo’n vijf jaar, sinds de lancering van de markup-tool in Android 9 Pie in 2018. En daarin schuilt het probleem. De beveiligingspatch van maart lost het probleem met de bijgesneden screenshots via de markup-tool op, maar dat geldt niet voor sommige screenshots die Pixel-gebruikers in het verleden hebben bijgesneden en gedeeld met anderen.

De reverse engineers hebben een webiste gebouwd, acropalypse.app, waar je erachter kunt komen of een gedeeld screenshot gevaar loopt. Het is helaas niet duidelijk hoe wijdverspreid dit probleem onder Pixel-gebruikers is. Volgens Aarons and Buchanan verwerken sommige websites zoals Twitter, screenshots op zo’n manier dat niemand de kwetsbaarheid kan misbruiken. Voor andere platformen geldt dat niet. Aarons en Buchanan hebben het specifiek over Discord en geven aan dit platform de exploit pas heeft gepatcht na de recente update van 17 januari. Het is onduidelijk of screenshots die op andere sociale media en chat-apps zijn gedeeld, ook gevaar lopen. Het risico is er dus nog steeds, zelfs nadat de beveiligingsupdate van maart op de Pixel-telefoon is geïnstalleerd.

Er zijn in de afgelopen weken meerdere ernstige kwetsbaarheden in Android ontdekt. Project Zero, het team van Google dat zich bezighoudt met beveiligingsonderzoek, heeft vorige week een aantal grote kwetsbaarheden gevonden in de Samsung-modems. Dit probleem maakte het voor criminelen mogelijk om op afstand een telefoon binnen te dringen zonder dat de gebruiker dit door heeft. De modems zijn in deze populaire Android-telefoons te vinden. Daarnaast is er een groot beveiligingsrisico op Android-telefoons te vinden dat tweestapsauthenticatie makkelijk kan omzeilen.

Gebruik jij de markup-screenshottool op je Pixel om screenshots te croppen?  Laat het ons weten in de reacties.