“In realtà me ne sono accorto alle quattro del mattino per puro caso, quando ho notato che il file di un piccolo screenshot con del testo bianco su sfondo nero che avevo inviato pesava cinque Mb, e la cosa non mi tornava“, spiega Aarons.
Anche se spesso non è possibile recuperarle completamente, le immagini interessate da aCropalypse possono essere sostanzialmente ricostruite. Aarons ha fornito alcuni esempi, tra cui uno in cui è riuscito a recuperare il numero della sua carta di credito dopo aver tentato di ritagliarlo da una foto. In poche parole, in circolazione c’è una notevole quantità di foto che contengono più dati di quanti dovrebbero, informazioni che nello specifico qualcuno aveva cercato di rimuovere intenzionalmente.
Microsoft non ha ancora distribuito una correzione per il bug, mentre l’aggiornamento introdotto da Google non risolve il problema per i file immagine esistenti ritagliati negli anni in cui lo strumento era ancora vulnerabile. Google fa però notare che alcuni social media e servizi di comunicazione sono in grado eliminare automaticamente i dati errati contenuti nei file immagine che vengono condivisi sulle piattaforme.
“Le applicazioni e i siti web che ricompattano le immagini, come Twitter, Instagram o Facebook, eliminano automaticamente i dati extra dalle immagini caricate. Le immagini pubblicate su siti come questi non sono a rischio“, ha dichiarato in in un comunicato Ed Fernandez, portavoce di Google.
I ricercatori tuttavia sottolineano che alcune piattaforme, come per esempio Discord, non applicano questa procedura. Da utente di Discord, Buchanan racconta che continuava a vedere utenti del servizio pubblicare schermate ritagliate, e che ha fatto molto fatica a non dire nulla prima che la vulnerabilità fosse resa pubblica.
Steven Murdoch, professore di ingegneria della sicurezza presso l’University College di Londra, ricorda di aver scoperto nel 2004 una falla che faceva sì che una versione precedente di un’immagine modificata venisse memorizzata nei dati delle miniature del file. “Non è la prima volta che vedo questo tipo di vulnerabilità – dice –, e credo che il motivo sia che quando viene scritto, il software viene testato per assicurarsi che ci sia quello che ci si aspetta. Si salva un’immagine, la si può aprire e il gioco è fatto. Quello che non viene controllato è se accidentalmente vengono memorizzati anche dati extra“.
La vulnerabilità delle miniature scoperta da Murdoch nel 2004 era concettualmente simile ad aCropalypse dal punto di vista dei rischi per la privacy, ma aveva basi tecniche molto diverse, legate in quel caso a problemi nella progettazione dell’interfaccia di programmazione delle applicazioni (Api). Nonostante consideri aCropalypse un problema per gli utenti le cui foto sono già in circolazione, Murdoch sottolinea che il suo impatto maggiore potrebbe essere il dibattito su come promuovere migliori pratiche di sicurezza nello sviluppo e nell’implementazione delle Api.
Leggi tutto su www.wired.it
di Lily Hay Newman www.wired.it 2023-03-24 05:40:00 ,