Google Pixelのスクショ編集機能に脆弱性 3月更新で修正済みだがPNG画像の個人情報漏えいの恐れ

[佐藤由紀子，ITmedia]

　米GoogleのPixelシリーズに搭載されているスクリーンショット編集機能「マークアップ」の脆弱性が、エンジニアのサイモン・アーロンズ氏とデビッド・ブキャナン氏によって3月18日にツイートで明らかにされた。この脆弱性により、PNG形式の画像でトリミングや塗りつぶしを行った部分が復元可能となっていた。Googleは3月のセキュリティ更新でこの問題を修正したが、暗号化されない画像アップロードサービスでは注意が必要だと、エンジニアたちは警告している。

　マークアップは、Android 9から利用できるようになっているスクリーンショットの編集機能だ。スクリーンショットを撮影し、画面左下に表示されるサムネールをタップすることで編集画面を表示できる。

　例えばマークアップで電話番号などの個人情報部分を塗りつぶしたり、見せたくない部分をトリミングしたりしたPNG画像は、アーロンズ氏が「aCropalypse」と名付けた脆弱性を悪用すれば見えてしまう。

　ただし、この問題はPNG形式の画像に限定されており、JPGなどに変換してアップロードした場合は影響を受けない。また、Twitterをはじめとするほとんどのオンラインサービスでは画像が再処理されるため、問題は発生しない。Discordも1月中旬に再処理を行うようになったが、それ以前に投稿された画像は影響を受ける可能性がある。

　アーロンズ氏らはこの問題を1月に「CVE-2023-21036」としてGoogleに報告した。Googleは3月のセキュリティ更新で、重要度「高」として修正した。