{dede:global.cfg_webname/}

当前位置: 首页 > 资讯 > 互联网 > 正文

打过码的图片等于没打!用Windows的要小心了

来源:差评     时间:2023-04-02 23:20:27

  4月2日,上周有外媒爆出了一个和谷歌隐私安全有关的小瓜。

  事儿本身不大,但聊一聊还是蛮有意思的。

  报道讲说,谷歌自家的 Pixel 手机系统内置的 “ Markup ” 截图工具,存在一个严重的隐私漏洞。

  只要你通过这个截图工具来剪辑 PNG 格式的图片,就有一定概率还原出原图被截掉的其他信息。

打过码的图片等于没打!用Windows的要小心了

  发现这个漏洞的程序员 Simon Aarons,还写了一个可以检测这个漏洞的程序 Acropalypse。

打过码的图片等于没打!用Windows的要小心了

  只要你把 Pixel 手机的机型和用 Markup 裁出的上传上去,就能得到原图的其他信息。

  拿 Pixel 4 试了一下,效果拔群。

打过码的图片等于没打!用Windows的要小心了

  一石激起千层浪啊,谷歌这事儿被爆出来之后,被一群码农大佬们顺藤摸瓜,发现类似的 Bug,微软似乎也有份。

  他们直接使用 Windows 系统重的截图工具,也重现了和谷歌Pixel 一样的问题。

打过码的图片等于没打!用Windows的要小心了

  这下问题就大条了。

  要说 Pixel 手机用的人少和咱们关系也不大,可 Windows 的截图工具,可是大伙儿经常会摸到的常用工具。

  数以十亿计的用户,可能在自以为隐私部分已经抹掉了的情况下,把截图发了出去。

  但凡有什么个人隐私信息,想想都觉得后脊背发凉。

  那我就好奇了,两家大厂,在两个毫不相关的系统上,出现了一模一样的严重错误。

  难道是 PNG 的标准实在是太老被钻了漏洞,或者是什么基础软件有问题?

打过码的图片等于没打!用Windows的要小心了

  我怀着揣揣不安的心情,深入调查了一下这件事儿的来龙去脉。

  先说结论啊:并不是图像处理和储存的标准出了问题,而是谷歌微软同时以不同的方式犯了傻。

打过码的图片等于没打!用Windows的要小心了

  首先说明一下,这个 Bug 的真正原因,并不是 PNG 透明通道( RGBA中的A )的问题。

  这个有歧义的新闻让我原地研究半小时,下为原文:

打过码的图片等于没打!用Windows的要小心了

打过码的图片等于没打!用Windows的要小心了

  简单来说,这个 Bug 的本质,其实是因为截图工具没有删除旧图片数据,而是直接把新图片,覆盖写入在了旧图片的开头。

  所以只要新的图片文件体积小于旧文件,没完全用数据把原图覆盖掉,就留下了可恢复的旧图像数据。

打过码的图片等于没打!用Windows的要小心了

  标准的 PNG 解码器,在读到新 PNG 文件尾的时候,就不会再读下去了,所以剩余的旧数据,会被解码器直接忽略。

打过码的图片等于没打!用Windows的要小心了

  这也是用户很难发现旧图片数据泄露的原因:不用特别手段,一般人根本看不出。

打过码的图片等于没打!用Windows的要小心了

  不过,虽说问题的本质一样,但这两个大厂出问题的理由却并不相同。

  谷歌是因为 Android 9 到 Android 10 的时候,读写文件相关的一个接口发生了变动,而且没有记载在文档和更新日志里。

打过码的图片等于没打!用Windows的要小心了

  祖传的代码在旧接口上会正确删除旧文件,不会留下只因脚。

  然而在新版本下,同样的代码就只能覆盖写入旧文件,只要新文件小于旧文件,旧文件的残余部分就会留下来。

打过码的图片等于没打!用Windows的要小心了

  微软这边的问题可能要更大些。

  根据微软的 API 规则,程序员在调用覆盖文件的接口时,如果没有额外的特别指示 Windows 把旧文件删掉,那么新文件就会直接从头开始覆盖旧文件,然后留下一堆旧文件的残余。

  但凡程序员在写的时候没注意到这个规则,就会有安全风险。

  至于微软为何要把这种不安全的行为作为接口的默认值,我只能说,或许这就是国际大厂对编程的精妙理解吧。

  好消息:微软的接口一直都没变过;坏消息:但是设计的和狗屎一样。

打过码的图片等于没打!用Windows的要小心了

  严重的是,随着这个漏洞原因的公开,已经有人在更加常用的 JPG 格式的图像上发现了类似的问题。

  考虑到大多数截屏和手机拍照都是 JPG 直出,漏洞扩展到 JPG 后,这个问题其实是是扩散了。

  而且由于 JPG 和 PNG 的压缩方式不同,文件头部被覆盖的 JPG 旧文件,搞不好还能实现几乎完美的还原。

打过码的图片等于没打!用Windows的要小心了

还原的JPG图像只是比原图多了点噪点

  这 Bug,好像有那么点刹不住车了。

  好消息是,如今信息安全的概念已经深入人心,在我们的隐私完全漏勺之前,其实还有一道防线。

  我在当年试图成为一个程序猿的时候,学到的第一课,就是绝对不能信任用户提交的数据。

打过码的图片等于没打!用Windows的要小心了

用户试图删掉网站的用户数据表

  一些技术人员甚至可以利用解码器 “ 只读取文件尾之前数据 ” 的特性,在一张正常图片的尾部附带恶意代码,从而攻击网站服务器或其他用户。

  之前在贴吧里流行过的图种也是类似原理。

打过码的图片等于没打!用Windows的要小心了

  为了清除这些可能有风险的无关数据,同时节约服务器流量和存储,一般网站都会先用解码器读取图片,然后重新编码成低质量的 JPG。

  这样,即使是用户上传的图片里有额外数据( 比如这次 Bug 留下来的旧图 ),也不会出现在其他用户那里。

打过码的图片等于没打!用Windows的要小心了

  但也有例外。

  比如说,微信和 Discord 就提供下载原图的选项,而且提供的是真正的原图。这样,那些无关数据就还是公开了。

  按照安全原则,他们应当提供 “ 伪原图 ”

打过码的图片等于没打!用Windows的要小心了

  总结一下,谷歌和微软这次的 Bug,是两个影响相当广泛、原因极其简单、后果控制不好可能会严重的漏洞。

  其中一个从 Android 10(2019)开始,影响所有 Pixel 手机;

  另一个从 Windows 10 (2015)开始,影响所有使用系统自带截图工具的用户。

  更离谱的是,这两个漏洞前几天才刚刚修复。。

  我觉得,考虑到时间跨度、受害者数量和形成原因,这两个漏洞完全有资格参与 “ 年度最弱智漏洞 ” 的竞争。

  但不管怎么样,在关系到用户隐私信息这一块的问题,谷歌和微软确实应该加强代码的检查。

  各家互联网平台运营商,也应该以此为戒,避免在公共场合分发原始图片的原文件,这不仅可能损害自家服务器的安全,而且还可能暴露用户的隐私。

  原图信息中甚至还能有地点定位信息

打过码的图片等于没打!用Windows的要小心了

从咱们用户自己的角度来说,我的建议也很简单:

  在任何公开平台都不要上传原图!不要上传原图!不要上传原图!

打过码的图片等于没打!用Windows的要小心了

  当图片经过在本地完成解码 —— 重新编码上传的过程,原图上的信息自然也就会被处理。

  安全这块儿,还得是自己把住最后一关。

声明:来源非IT商业科技网的作品均转载自其它媒体,转载请尊重版权保留出处,一切法律责任自负。文章内容仅供阅读,不构成投资建议,请谨慎对待。投资者据此操作,风险自担。转载稿件或作者投稿可能会经编辑修改或者补充, 如有异议可投诉至:Email:342 4350 938@qq.com

频道精选
打过码的图片等于没打!用Windows的要小心了

打过码的图片等于没打!用Windows的要小心了

  4月2日,上周有外媒爆出了一个和谷歌隐私安全有关的小瓜。  事儿本身不大,但聊一聊还是蛮有意思的。  报道讲说,谷歌自家的 Pixe
2023-04-02
比亚迪汽车3月销售207080辆,同比增长97.4%

比亚迪汽车3月销售207080辆,同比增长97.4%

  4月2日,比亚迪公布了2023年3月汽车销量数据。  数据显示,比亚迪汽车3月销售207080辆,同比增长97 4%。  其中:  乘用车出口133
2023-04-02
传音260W快充实测出炉,7分51秒充满4400mAh!

传音260W快充实测出炉,7分51秒充满4400mAh!

  4月2日,大约一个月前,传音宣布将推出260W有限快充,以及110W无线快充,打破了目前可量产的最高纪录。  近日,gsmarena公布了对该技
2023-04-02
RTX 4060都威胁不到,AMD笔记本显卡弃疗了!

RTX 4060都威胁不到,AMD笔记本显卡弃疗了!

  4月2日,在笔记本领域,AMD处理器的进步有目共睹,但是AMD移动显卡就是在拉胯了。  今年初,NVIDIA一口气发布了RTX 40全系移动版型
2023-04-02
黄山工作人员回应穷游黄山睡山顶酒店大厅:还未到一房难求的地步

黄山工作人员回应穷游黄山睡山顶酒店大厅:还未到一房难求的地步

  4月2日,大学生普遍没有多少积蓄,穷游成为近几年比较热门的话题,本着最低的消费,游览大好河山,也是一种有趣的经历。  不过网友4
2023-04-02
云南铁路:滇藏铁路全线重点控制性工程哈巴雪山隧道建设进入冲刺阶段

云南铁路:滇藏铁路全线重点控制性工程哈巴雪山隧道建设进入冲刺阶段

  4月2日,云南铁路部门消息,滇藏铁路全线重点控制性工程哈巴雪山隧道建设进入冲刺阶段,按照计划,滇藏铁路丽江至香格里拉段将于今年内
2023-04-02
京东无线宝:设备激活使用已经满两年,可以关闭共享网络赚钱服务

京东无线宝:设备激活使用已经满两年,可以关闭共享网络赚钱服务

  4月2日,京东无线宝发布公告,如果用户的设备激活使用已经满两年,可以关闭共享网络赚钱服务。  大家可通过京东云无线宝App-存储设置
2023-04-02
华硕玩家国度ROG掌机Ally搭载定制AMD APU处理器,支持运行Windows 11操作系统

华硕玩家国度ROG掌机Ally搭载定制AMD APU处理器,支持运行Windows 11操作系统

  4月2日,尽管选择在4月1日愚人节当天官宣,但多方确认,华硕玩家国度ROG掌机Ally确有其事。  类似于Steam Deck,ROG掌机Ally同样搭
2023-04-02
靠脸吃饭徐大王:停更属于个人问题,B站仅是自己输出内容的平台之一

靠脸吃饭徐大王:停更属于个人问题,B站仅是自己输出内容的平台之一

  4月2日,今天,微博话题 B站UP主发起停更潮 爆火,一度登上微博热搜榜一,多名UP主集中宣布暂时停更,矛头直指平台收益减少,引起大众
2023-04-02
卢洪洲:鹦鹉热人传人可能会发生,但一直被认为是罕见的

卢洪洲:鹦鹉热人传人可能会发生,但一直被认为是罕见的

  4月2日,春季一般都是传染病的高发季,除了流感尤其是甲流,近期我国一些地方又出现了传染性的鹦鹉热,会导致咳嗽、发热、肺部感染等症
2023-04-02

2017-2019 Copyright © IT商业科技网 备案许可证号粤ICP备2022153948号 豫公网安备110102003388号

紧急处理QQ:342 4350 938@qq .com