Google Pixelのスクショ編集機能に脆弱性 3月更新で修正済みだがPNG画像の個人情報漏えいの恐れ
GoogleのPixelシリーズのスクリーンショット編集機能の脆弱性で、トリミングしたり塗りつぶしたりした部分が復元できてしまっていた。Googleは3月のセキュリティ更新でこの脆弱性を修正した。1月前にDiscordに投稿した画像は影響を受ける可能性がある。
米GoogleのPixelシリーズに搭載されているスクリーンショット編集機能「マークアップ」の脆弱性が、エンジニアのサイモン・アーロンズ氏とデビッド・ブキャナン氏によって3月18日にツイートで明らかにされた。この脆弱性により、PNG形式の画像でトリミングや塗りつぶしを行った部分が復元可能となっていた。Googleは3月のセキュリティ更新でこの問題を修正したが、暗号化されない画像アップロードサービスでは注意が必要だと、エンジニアたちは警告している。
マークアップは、Android 9から利用できるようになっているスクリーンショットの編集機能だ。スクリーンショットを撮影し、画面左下に表示されるサムネールをタップすることで編集画面を表示できる。
例えばマークアップで電話番号などの個人情報部分を塗りつぶしたり、見せたくない部分をトリミングしたりしたPNG画像は、アーロンズ氏が「aCropalypse」と名付けた脆弱性を悪用すれば見えてしまう。
ただし、この問題はPNG形式の画像に限定されており、JPGなどに変換してアップロードした場合は影響を受けない。また、Twitterをはじめとするほとんどのオンラインサービスでは画像が再処理されるため、問題は発生しない。Discordも1月中旬に再処理を行うようになったが、それ以前に投稿された画像は影響を受ける可能性がある。
アーロンズ氏らはこの問題を1月に「CVE-2023-21036」としてGoogleに報告した。Googleは3月のセキュリティ更新で、重要度「高」として修正した。
関連記事
- サムスン製5Gモデムで18件の「ゼロデイ脆弱性」が見つかる 日本では「Pixel 6」「Pixel 7」などに影響
Samsung(サムスン)製の5Gモデムに18件の「ゼロデイ脆弱性」が見つかった。端末のソフトウェア更新によって解消可能だが、更新がまだ済んでいない端末については「VoLTE」「Wi-Fi Calling」の無効化措置が推奨されている。 - Androidスマホでスクリーンショットを撮る方法 ページ全体を撮るには?
Android端末でゲームやSNS、ブラウザを使っているときにスクリーンショットを撮影することは多いだろう。今回は改めてスクショの撮り方をおさらいしつつ、Android 12で追加された「スクロールスクリーンショット」の撮影方法も紹介する。 - Android 12 beta 3リリース 自動回転の改善や縦長スクショ機能追加など
GoogleがAndroid 12のbeta 3をリリースした。インカメラで顔を検知する自動回転の改善や、縦長スクロール画面のスクリーンショット機能追加などが行われた。 - AndroidとPixelに2月の月例更新 Pixel 7/7 Proのクリア音声通話改善など
GoogleがAndroidの月例更新の2月版の配信を開始した。セキュリティ関連では、危険度が最高の「致命的」4件を含む多数の脆弱性が修正される。Pixelシリーズには幾つかのバグ修正もある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.