L’utilità Markup è un’applicazione preinstallata sui telefoni Google Pixel che consente agli utenti di inserire note e modificare immagini direttamente dal loro dispositivo. Con Markup è possibile evidenziare, disegnare, scrivere e aggiungere testo o forme alle immagini.
Si tratta di una funzione particolarmente utile per coloro che hanno bisogno di evidenziare degli elementi presenti in un’immagine, ad esempio al fine di condividere il file con altri utenti.
Rilasciata con Android 9 Pie nel 2018, l’utilità Markup consente anche di modificare (ritagliare, aggiungere testo, disegnare ed evidenziare) gli screenshot ovvero le schermate acquisite sul telefono.
A gennaio 2023, tuttavia, il ricercatore Simon Aarons ha identificato e segnalato a Google una grave vulnerabilità individuata in Markup. Contrassegnata con l’identificativo CVE-2023-21036, si tratta di un problema non da poco che va ad impattare sulla privacy e la riservatezza dei dati dei singoli utenti.
Supponiamo che abbiate acquisito l’immagine di una carta di credito, sotto forma di screenshot, dall’app di un qualunque servizio. Con lo strumento Markup di Google si cancellano i dati come il numero della carta di credito e la data di scadenza.
Il problema è che le informazioni grafiche aggiunte da MarkUp con lo scopo di nascondere possono essere rimosse per ripristinare i dati originali.
Con la collaborazione di David Buchanan, Aarons ha allestito un sito Web, chiamato aCropalypse: partendo da un’immagine elaborata con Markup, l’applicazione Web riporta alla luce le informazioni che sarebbero dovute restare nascoste. Basta selezionare il dispositivo Google Pixel in proprio possesso, provare a realizzare un’immagine nascondendo alcune informazioni con Markup e infine “darla in pasto” al sito aCropalypse.
Quello che si ottiene è quanto Aarons ha dettagliato in questo tweet con un’immagine di esempio da lui generata.
“Fortunatamente, la maggior parte dei servizi di social media rielabora le immagini caricate, eliminando alcuni dati e mitigando la vulnerabilità. Ad esempio, Twitter è al sicuro dalla falla aCropalypse“, spiegano i due ricercatori.
Buchanan, che di recente è riuscito a portare Netflix e Spotify sui sistemi macOS ARM basati su Asahi Linux, spiega che aCropalypse può essere un problema per chi ha già condiviso, usando vari mezzi, contenuti personali elaborati con Markup al fine di rimuovere dettagli personali.
La spiegazione tecnica ha a che fare con il comportamento di Markup che salva la versione modificata del file senza rimuovere tutte le informazioni precedentemente memorizzate. Quando il file nuovo ha dimensioni inferiori rispetto all’originale, molti dati possono essere recuperati e riportati alla luce contro la volontà dell’autore dell’immagine stessa.
Google conferma di aver risolto il problema di sicurezza (CVE-2023-21036) con gli aggiornamenti Android rilasciati a marzo 2023. È quindi opportuno provvedere a scaricarli e installarli quanto prima sui propri smartphone Google Pixel anche se resta il problema delle immagini create con Markup e condivise in passato.