Google Pixelのスクショ編集機能に脆弱性 3月更新で修正済みだがPNG画像の個人情報漏えいの恐れ

» 2023年03月20日 08時24分 公開
[佐藤由紀子ITmedia]

 米GoogleのPixelシリーズに搭載されているスクリーンショット編集機能「マークアップ」の脆弱性が、エンジニアのサイモン・アーロンズ氏とデビッド・ブキャナン氏によって3月18日にツイートで明らかにされた。この脆弱性により、PNG形式の画像でトリミングや塗りつぶしを行った部分が復元可能となっていた。Googleは3月のセキュリティ更新でこの問題を修正したが、暗号化されない画像アップロードサービスでは注意が必要だと、エンジニアたちは警告している。


 マークアップは、Android 9から利用できるようになっているスクリーンショットの編集機能だ。スクリーンショットを撮影し、画面左下に表示されるサムネールをタップすることで編集画面を表示できる。

 markup

 例えばマークアップで電話番号などの個人情報部分を塗りつぶしたり、見せたくない部分をトリミングしたりしたPNG画像は、アーロンズ氏が「aCropalypse」と名付けた脆弱性を悪用すれば見えてしまう。

 ただし、この問題はPNG形式の画像に限定されており、JPGなどに変換してアップロードした場合は影響を受けない。また、Twitterをはじめとするほとんどのオンラインサービスでは画像が再処理されるため、問題は発生しない。Discordも1月中旬に再処理を行うようになったが、それ以前に投稿された画像は影響を受ける可能性がある。

 アーロンズ氏らはこの問題を1月に「CVE-2023-21036」としてGoogleに報告した。Googleは3月のセキュリティ更新で、重要度「高」として修正した。

 march

Copyright © ITmedia, Inc. All Rights Reserved.

アクセストップ10

2026年07月16日 更新
  1. 専用充電器はもう不要? 中韓スマホから国内勢まで巻き込む「USB PPS」急速充電の新常識 (2026年07月14日)
  2. LINEの新「プレミアムブロック」で完全な“絶縁”が可能に? 従来のブロック機能との決定的な違い (2026年07月15日)
  3. 誤爆で「ワインが20本も届いちゃう」 押せば注文できる“Amazon Dash Button ”とは何だったのか (2026年07月11日)
  4. なぜ「ドコモ銀行」じゃない? 「ドコモSMTBネット銀行」の名称に隠された通信と金融の“パワーバランス” (2026年07月15日)
  5. 日本通信がMVNOサービスでシェア5位に 月額290円からの“合理的プラン”が好調 (2026年07月15日)
  6. モトローラ初の横折りフォルダブルスマホ「razr fold」が日本上陸 おサイフケータイ対応で29万9800円 (2026年07月15日)
  7. JR東日本「分かりにくい」新幹線券売機を改善へ なぜ、スマホではなく「駅での最短1分購入」を実現? (2026年07月04日)
  8. 日本のテスラで解禁された対話型AI「Grok」を試してみた 従来のカーナビを圧倒する異次元の利便性 (2026年07月13日)
  9. メルカリが「新リユースECサイト」を立ち上げたワケ 品質保証で中古スマホの不安解消を目指す (2026年07月14日)
  10. IIJmio、ハイエンドスマホ「arrows Alpha」を3万円割引で5万4800円に 8月3日まで【スマホお得情報】 (2026年07月14日)
最新トピックスPR

過去記事カレンダー