Google Pixelのスマートフォンにおいて、スクリーンショット後のマークアップ(編集)で加工した画像の元画像が復元できてしまう不具合が見つかっています。また、実際にこの復元を試せるテストサイトも公開されています。
なお、この不具合は2023年3月のセキュリティーアップデートで修正されているので、まだアップデートしていない人はなるべく早くアップデートしておきましょう。
- 本記事は広告およびアフィリエイトプログラムによる収益を得ています。
acropalypse
スクリーンショットを撮ると左下にサムネイルとちょっとしたメニューが表示されます。このサムネイルもしくは鉛筆マークをタップすると、スクショ画像を切り抜きしたり、見られたくない部分をペンで塗りつぶしたりと編集できます。
この加工後の画像に、加工前のデータが残っていてacropalypseという脆弱性をつくと元画像が復元できてしまいます。
テストサイト
実際にこの脆弱性を試せるサイトも公開されています。
元画像を作成したデバイスを選択し、Pixelのマークアップで加工した画像をアップロードすると…
左の加工後の画像から、右のように元画像が表示されました。元画像…と言っても完全に復元されたわけではありませんが、ペンで塗りつぶした部分などが明らかになってしまってます。
2023年3月のアップデートで修正済み…だが
なお、この問題は2023年3月のアップデートで修正されています。まだアップデートしていない方はなるべく早くアップデートしておいたほうが良いでしょう。配信が遅れていたPixel 6シリーズについても3月21日より配信されています。
なお、この問題で復元されるのはpngで保存されたものだけです。SNSなどにアップロードした場合、大抵はサービス側で画像が変換されており、その際に復元できないようになっています。(あくまで「大抵は」なのでサービスによりますが。)
Pixelで加工後、そのままメール等で送ってしまったものは復元されてしまう恐れはあります。また、2023年3月のアップデートで修正されたとは言え、それ以前に作成された画像については修正されようがないので問題は残ったままです。
Introducing acropalypse: a serious privacy vulnerability in the Google Pixel's inbuilt screenshot editing tool, Markup, enabling partial recovery of the original, unedited image data of a cropped and/or redacted screenshot. Huge thanks to @David3141593 for his help throughout! pic.twitter.com/BXNQomnHbr
— Simon Aarons (@ItsSimonTime) March 17, 2023