Bug, yang disebut “aCropalypse,” ditemukan dan awalnya dikirim ke Google oleh peneliti keamanan dan sarjana Simon Aarons, yang berkolaborasi dalam pekerjaan dengan sesama insinyur balik David Buchanan. Minggu ini, pasangan tersebut tercengang saat menemukan bahwa versi kerentanan yang sangat mirip juga ada di alat lain untuk memotong gambar dari database yang benar-benar terpisah tetapi ada di mana-mana: Windows. Alat Pemotong Windows 11 dan Snip & Sketsa Windows 10 rentan jika pengguna mengambil tangkapan layar, menyimpannya, memotong tangkapan layar, lalu menyimpan file lagi. Sementara itu, gambar yang dipotong menggunakan Markup menyimpan banyak data bahkan saat pengguna melakukan pemotongan sebelum menyimpan gambar untuk pertama kali.

Microsoft mengatakan kepada WIRED pada hari Rabu bahwa mereka “mengetahui laporan ini” dan “menyelidiki”, menambahkan, “kami akan mengambil tindakan yang diperlukan sesuai kebutuhan.”

“Sungguh menakjubkan, seperti kilat yang baru saja menyambar dua kali,” kata Buchanan. “Kerentanan Android asli sudah sangat mengejutkan sehingga tidak benar-benar ditemukan. Itu benar-benar tidak nyata.”

Sekarang kerentanan keamanan telah terungkap, para peneliti memulai Mengungkapkan diskusi lama Di forum pemrograman tempat pengembang memperhatikan perilaku aneh alat pemotong. Tetapi Aarons tampaknya menjadi orang pertama yang mengenali potensi implikasi keamanan dan privasi — atau setidaknya yang pertama mempresentasikan temuan tersebut ke Google dan Microsoft.

“Saya menyadarinya sekitar jam 4 pagi secara tidak sengaja ketika saya mengetahui bahwa tangkapan layar kecil yang saya kirim dengan teks putih dengan latar belakang hitam adalah file 5MB, yang sepertinya tidak cocok untuk saya,” kata Aarons.

Gambar yang terkena acropalypse seringkali tidak dapat dipulihkan sepenuhnya, tetapi dapat direkonstruksi secara signifikan. Harun Contoh disediakan, termasuk di mana dia dapat memulihkan nomor kartu kreditnya setelah mencoba memotongnya dari sebuah foto. Singkatnya, ada sekumpulan gambar yang berisi lebih banyak informasi dari yang seharusnya — khususnya, informasi yang sengaja ingin dihapus oleh seseorang.

Microsoft belum merilis perbaikan apa pun, tetapi bahkan yang telah dirilis Google tidak mengurangi status file gambar yang ada yang dipangkas selama bertahun-tahun ketika alat tersebut masih rentan. Namun, Google menunjukkan bahwa file gambar yang dibagikan di beberapa media sosial dan layanan komunikasi dapat secara otomatis menghapus data yang salah.

Sebagai bagian dari proses kompresi yang ada, aplikasi dan situs web yang mengompres ulang gambar, seperti Twitter, Instagram, atau Facebook, secara otomatis menghapus data tambahan dari gambar yang diunggah. Juru bicara Google Ed Fernandez mengatakan dalam sebuah pernyataan bahwa gambar yang diposting di situs seperti ini tidak dalam bahaya.

Namun, para peneliti menunjukkan bahwa ini tidak berlaku untuk semua platform, termasuk Discord.

Sebagai pengguna Discord, Buchanan mengatakan dia terus melihat orang-orang memposting tangkapan layar yang dipotong, dan sangat sulit untuk tidak mengatakan apa pun sebelum kerentanannya terungkap ke publik.

Stephen Murdoch, profesor teknik keamanan di University College London, menunjukkan bahwa pada tahun 2004 dia menemukan a Mereka Versi lama dari gambar disimpan dalam thumbnail gambar bahkan setelah diubah.

“Ini bukan pertama kalinya saya melihat kerentanan semacam ini,” kata Murdoch. “Dan saya pikir itu karena ketika program ditulis, itu diuji untuk memastikan bahwa hal yang Anda harapkan ada di sana. Anda dapat menyimpan gambar, Anda dapat membuka gambar, dan kemudian selesai. Apa yang tidak diperiksa adalah apakah ada data tambahan disimpan dalam kesalahan.” .

Kerentanan thumbnail yang ditemukan oleh Murdoch pada tahun 2004 secara konseptual mirip dengan acropalypse dari sudut pandang privasi data tetapi memiliki dasar teknis yang sangat berbeda karena masalah desain API. Dan Murdoch menekankan bahwa sementara dia melihat acropalypse sebagai masalah bagi pengguna yang gambarnya terpengaruh telah muncul di dunia, dampak terbesarnya mungkin berasal dari diskusi yang dipicu tentang bagaimana hal itu dapat mempromosikan praktik keamanan yang lebih baik dalam pengembangan dan penerapan API.

“Hal ini memicu beberapa perbincangan menarik tentang desain API dan apa yang Anda lakukan untuk mengajari orang menghindari kerentanan semacam ini di masa mendatang? Ini bukan sesuatu yang kami latih untuk dihadapi orang,” kata Murdoch. jatuh’ kerentanan.” Tapi itu tidak baik.”