最近使用Google Pixel 手機的用戶需要注意，你打過碼的照片未必安全！

安全研究人員 Simon Aarons 和 David Buchanan 最近在推特披露稱，Google Pixel 自帶的照片編輯工具Markup存在一個名為“Acropalypse的安全漏洞，能夠還原用戶照片中已經(jīng)打碼或裁剪掉的內(nèi)容。

Aarons 分享了一個示例，演示他們?nèi)绾问褂?Acropalypse 漏洞恢復(fù)上傳到 Discord 的信用卡照片。最開始，該信用卡卡號碼已使用Markup工具進行了打碼處理。但當(dāng)他們的利用Acropalypse exploit 運行照片后，已經(jīng)被打碼的卡號信息得到了還原。

Acropalypse 示例

據(jù)悉，這兩名研究人員于今年1月向谷歌報告了該漏洞，谷歌也與3月13日發(fā)布的更新中對其進行了修復(fù)。分析指出，經(jīng)過Markup編輯處理的照片有大約80%能夠被恢復(fù)，如果用戶將未壓縮的圖片發(fā)布至互聯(lián)網(wǎng)或社交平臺，就可能導(dǎo)致敏感信息泄露。當(dāng)然，一些平臺會自動壓縮、重新編碼上傳的照片，從而在一定程度上減少了信息泄露的范圍。

雖然Acropalypse漏洞已經(jīng)得到修復(fù)，但仍需值得注意的是，漏洞存在的時間長達5年之久，這期間已經(jīng)共享出去的照片難以計數(shù)，且沒有任何補救措施。此外，該漏洞廣泛存在于所有運行 Android 9 Pie 及更高版本的 Pixel 型號手機中，一些較老型號的手機并不會在第一時間得到安全更新，安全風(fēng)險依然存在。

最后，Acropalypse漏洞還會影響其他品牌的定制化Android手機，可能完全沿用原生的Markup對照片進行編輯。