나인투파이브구글 기사
Pixel Markup vulnerability lets some screenshots be un-redacted, un-cropped [...]
https://9to5google.com/2023/03/18/pixel-markup-screenshot-vulnerability/
구글 픽셀의 내장 이미지 편집 툴인 'Markup'을 이용해 스크린샷을 자르거나,
색칠로 지워도 취약점 때문에 원본 내용을 복구할 수 있었던 것으로 알려졌습니다.
이 취약점은 발견자가 'aCropalypse' 로 이름이 붙였습니다.
(아포칼립스와 + 자르다라는 뜻의 크롭 Crop을 합친 말장난)
예를 들어 은행 앱이나 사이트에서 화면 캡처 → 카드 부분만 자르기 → 카드 번호도 색칠로 지운 후
디스코드 같은 인터넷에 올려서 누군가 받으면 원본 상태 거의 그대로 복구가 된다는 것입니다.
* 영향을 받는 이미지
트위터를 포함한 일부 소셜미디어 사이트에서는 업로드한 이미지를 다시 압축시켜 버리기 때문에,
그런 곳에 올라간 이미지는 안전하다고 합니다.
그러나 위에서 말한 디스코드 같은 곳들은 압축 처리를 하지 않아서,
디스코드 같은 경우 1월 17일까지 올라간 이미지들은 원본 복구가 가능하다는 문제가 있다고 합니다.
(구글이 별도로 디스코드와 협력해서 문제될 이미지를 처리하고 있는지는 모른다고 합니다)
이 보안 취약점은 올해 픽셀 3월 보안 업데이트로 패치되었습니다.
* 데모 페이지 - https://acropalypse.app
* 기술적 설명 - https://www.da.vidbuchanan.co.uk/blog/exploiting-acropalypse.html
이해 부탁드립니다.
* 과거 질문과 클리앙 개발자님 답변
https://www.clien.net/service/board/bug/17823905CLIEN
픽셀 구글 포토는 저장 옵션이 두개입니다. 변경사항을 포함해 저장(수정본,원본을 UI상 하나로 저장)/사본으로 저장 두개인데
변경사항을 포함해 저장(비파괴) 는 원래 공유할 때 수정본만 보내는 게 맞습니다
사진은 아이폰 사진앱의 경우인데 비파괴 저장이 기본 세팅이고 수정된 사진을 보낼 때는 원본이 아닌 fullsizerender라고 수정본만 보냅니다. 다만 픽셀의 이번 경우에는 원본과 수정본을 다 보내는 거죠.