Google Pixel-এর ডিফল্ট স্ক্রিনশট এডিটিং ইউটিলিটি, মার্কআপকে প্রভাবিত করে এমন একটি নিরাপত্তা ত্রুটি ছবিগুলিকে আংশিকভাবে “অসম্পাদিত” হতে দেয়, যা ব্যবহারকারীরা যে ব্যক্তিগত তথ্য লুকানোর জন্য বেছে নেন তা সম্ভাব্যভাবে প্রকাশ করে। দ্বারা আগে দেখা 9to5গুগল অন্যান্য অ্যান্ড্রয়েড পুলিশ. দুর্বলতা, যা ছিল বিপরীত প্রকৌশলীদের দ্বারা আবিষ্কৃত সাইমন অ্যারনস এবং ডেভিড বুকানন, তখন থেকে Google দ্বারা প্যাচ করা হয়েছে কিন্তু এখনও আপডেটের আগে ভাগ করা সম্পাদিত স্ক্রিনশটগুলির জন্য ব্যাপক প্রভাব রয়েছে৷
বিস্তারিত হিসাবে একটি থ্রেড অ্যারনস টুইটারে পোস্ট করেছেন, উপযুক্তভাবে-নামযুক্ত “aCropalypse” ত্রুটিটি মার্কআপে সম্পাদিত PNG স্ক্রিনশটগুলি আংশিকভাবে পুনরুদ্ধার করা কারো পক্ষে সম্ভব করে তোলে৷ এর মধ্যে এমন পরিস্থিতি রয়েছে যেখানে কেউ তাদের নাম, ঠিকানা, ক্রেডিট কার্ড নম্বর, বা স্ক্রিনশটটিতে থাকতে পারে এমন অন্য কোনও ধরণের ব্যক্তিগত তথ্য ক্রপ বা স্ক্রিবল করার জন্য টুলটি ব্যবহার করতে পারে। একজন খারাপ অভিনেতা এই দুর্বলতাকে কাজে লাগাতে পারে এই পরিবর্তনগুলির কিছু বিপরীত করতে এবং তথ্য পেতে পারে ব্যবহারকারীরা ভেবেছিল যে তারা লুকিয়ে আছে।
একটি আসন্ন মধ্যে FAQ পৃষ্ঠা প্রথম দিকে প্রাপ্ত 9to5গুগল, অ্যারনস এবং বুকানান ব্যাখ্যা করেন যে এই ত্রুটিটি বিদ্যমান কারণ মার্কআপ মূল স্ক্রিনশটটিকে সম্পাদিত ফাইলের মতো একই ফাইল অবস্থানে সংরক্ষণ করে এবং মূল সংস্করণটি কখনও মুছে দেয় না। যদি স্ক্রিনশটটির সম্পাদিত সংস্করণটি আসলটির চেয়ে ছোট হয়, “নতুন ফাইলটি শেষ হওয়ার পরে মূল ফাইলের পিছনের অংশটি রেখে দেওয়া হয়।”
অনুযায়ী বুকাননের কাছে, এই বাগটি প্রথম আবির্ভূত হয়েছিল প্রায় পাঁচ বছর আগে, প্রায় একই সময়ে Google Android 9 Pie আপডেটের সাথে মার্কআপ চালু করেছিল। এটিই এটিকে আরও খারাপ করে তোলে, কারণ মার্কআপের সাথে সম্পাদনা করা এবং সোশ্যাল মিডিয়া প্ল্যাটফর্মে শেয়ার করা বছরের মূল্যের পুরানো স্ক্রিনশটগুলি শোষণের জন্য ঝুঁকিপূর্ণ হতে পারে।
প্রায়শই জিজ্ঞাসিত প্রশ্ন পৃষ্ঠায় বলা হয়েছে যে টুইটার সহ নির্দিষ্ট সাইটগুলি প্ল্যাটফর্মে পোস্ট করা ছবিগুলিকে পুনরায় প্রক্রিয়া করে এবং তাদের ত্রুটিগুলি দূর করে, অন্যরা, যেমন ডিসকর্ড, তা করে না। ডিসকর্ড শুধুমাত্র সাম্প্রতিক 17 ই জানুয়ারী আপডেটে শোষণটি প্যাচ করেছে, যার অর্থ সেই তারিখের আগে প্ল্যাটফর্মে ভাগ করা সম্পাদিত চিত্রগুলি ঝুঁকির মধ্যে থাকতে পারে। এটি এখনও পরিষ্কার নয় যে অন্য কোনও প্রভাবিত সাইট বা অ্যাপ আছে কিনা এবং যদি তাই হয় তবে সেগুলি কোনটি।
অ্যারনস দ্বারা পোস্ট করা উদাহরণ (উপরে এম্বেড করা) ডিসকর্ডে পোস্ট করা ক্রেডিট কার্ডের একটি ক্রপ করা ছবি দেখায়, যেখানে মার্কআপ টুলের কালো কলম ব্যবহার করে কার্ড নম্বরটি ব্লক করা আছে। অ্যারন একবার ইমেজটি ডাউনলোড করে এবং aCropalypse দুর্বলতাকে কাজে লাগালে, ছবির উপরের অংশটি দূষিত হয়ে যায়, কিন্তু তিনি এখনও ক্রেডিট কার্ড নম্বর সহ মার্কআপে সম্পাদনা করা টুকরোগুলি দেখতে পারেন। আপনি ত্রুটির প্রযুক্তিগত বিবরণ সম্পর্কে আরও পড়তে পারেন বুকাননের ব্লগ পোস্ট.
অ্যারনস এবং বুকানান জানুয়ারীতে গুগলকে ত্রুটি (CVE-2023-21036) রিপোর্ট করার পরে, কোম্পানিটি মার্চ মাসে সমস্যাটি প্যাচ করে নিরাপত্তা আপডেট Pixel 4A, 5A, 7, এবং 7 Pro এর জন্য এর তীব্রতা “উচ্চ” হিসাবে শ্রেণীবদ্ধ করা হয়েছে। দুর্বলতার দ্বারা প্রভাবিত অন্যান্য ডিভাইসগুলির জন্য এই আপডেটটি কখন আসবে তা স্পষ্ট নয় এবং Google অবিলম্বে প্রতিক্রিয়া জানায়নি কিনারাআরো তথ্যের জন্য অনুরোধ. সমস্যাটি নিজের জন্য কীভাবে কাজ করে তা আপনি দেখতে চাইলে, আপনি মার্কআপ টুলের একটি অ-আপডেট করা সংস্করণ সহ সম্পাদিত একটি স্ক্রিনশট আপলোড করতে পারেন এই ডেমো পৃষ্ঠায় অ্যারনস এবং বুকানান দ্বারা তৈরি। অথবা, আপনি কিছু চেক আউট করতে পারেন ভীতিকর উদাহরণ ওয়েবে পোস্ট করা হয়েছে।
Google-এর নিরাপত্তা দল পিক্সেল 6, পিক্সেল 7, এবং Galaxy S22 এবং A53 মডেলগুলির মধ্যে অন্তর্ভুক্ত Samsung Exynos মডেমগুলি খুঁজে পাওয়ার কয়েকদিন পরে এই ত্রুটিটি প্রকাশ্যে আসে। হ্যাকারদের ডিভাইস “দূর থেকে আপস” করার অনুমতি দিতে পারে শুধুমাত্র একটি ভিকটিম ফোন নম্বর ব্যবহার করে. গুগল তার মার্চ আপডেটে সমস্যাটি প্যাচ করেছে, যদিও এটি এখনও Pixel 6, 6 Pro, এবং 6A ডিভাইসের জন্য উপলব্ধ নয়।
