Даже если вы никогда им не пользовались, вы, вероятно, знаете, что такое видеомагнитофон (или чем он был).
Короче для видеомагнитофон, именно так мы записывали и просматривали видео дома в те дни, когда цифровое видео, хранящееся на жестких дисках, было абсурдно дорогой привилегией крупных компаний, обычно телевизионных станций.
Кассеты представляли собой небольшие пластиковые контейнеры, в которых находились две катушки и длинная полоса магнитной записывающей ленты — что-то вроде олдскульного жесткого диска, но с магнитной поверхностью, расположенной в виде длинной полосы…
…ну, из пластиковой ленты шириной 12.7 мм (это ровно 1/2″) и длиной около 100 м на каждый час записи.
(Ленты продавались с такими идентификаторами, как E-120, что означает запись PAL или SECAM, которая используется в большинстве стран мира, продолжительностью 120 минут или T-180, в течение трех часов записи в формате NTSC (телевизионный стандарт, используемый в Северной Америке и Японии).
В конце раскрываются оставшиеся данные
Немногие телепередачи были точно такой же длины, как кассета, поэтому, когда вы записывали передачу, у вас обычно оставался хотя бы кусочек ленты в конце катушки, которая была пустой.
Когда вы просматриваете, скажем, 45-минутное шоу, записанное на ленту E-60, вы получите 15-минутный видеофузз (широко известный как «статика»), если вы оставите ленту включенной, когда шоу закончится, до тех пор, пока видеомагнитофон обнаружил конец катушки и услужливо перемотал кассету на следующий раз.
Если, конечно, вы (или друг, который одолжил вам кассету) не использовали ее раньше и не записали что-то более 45 минут…
…в этом случае вы в конечном итоге просмотрели бы последнюю часть того, что осталось от предыдущего времени, и когда это закончилось, что было записано до этого или до этого, и так далее.
Вы получаете картину.
Нарезка никогда не была очень чистой, потому что видеомагнитофон обычно терял след видеосигнала, когда первая запись заканчивалась, и воспроизводил мешанину из наклонных линий, частичных кадров, которые прыгали по экрану, размытых пятен цвета. , и странная, искаженная смесь различных звуковых дорожек.
Во всяком случае, на какое-то время.
Однако, как правило, видеомагнитофон «перестраивался» с данными, оставшимися от предыдущей записи, повторно синхронизировался со старым видеопотоком, и неразборчивая чепуха на экране исчезала.
Вы попадете в конец неизвестного телешоу, просматриваете запись из отпуска или просматриваете какое-то другое домашнее видео, большая часть (но не все!) которого была потеряна, когда его перезаписывали.
По правде говоря, если вы сначала не стерли всю ленту, прежде чем делать запись поверх нее, вы почти всегда оставляли какой-то неожиданный и, возможно, нежелательный предыдущий контент в конце.
Ошибка «аКропалипсис»
Итак, британский исследователь кибербезопасности по имени Дэвид Бьюкенен только что опубликовал гайд про такой баг...
…в инструменте редактирования изображений на телефонах Google Pixel.
Нарушающее программное обеспечение, по-видимому, известно как Наценка, а также позволяет делать фотографии или снимки экрана, которые уже есть на вашем телефоне, обрезать или иным образом редактировать их, удаляя ненужные детали, прежде чем отправлять их друзьям или загружать в онлайн-сервисы.
Например, вы можете вырезать кого-то из изображения, чтобы выполнить его просьбу не показывать его лицо, или заблокировать имя пользователя или идентификатор учетной записи на снимке экрана программного обеспечения, или скрыть чей-то номер дома, чтобы не выдать их адрес.
Как вы можете себе представить, особенно когда вы обрезаете изображение, чтобы уменьшить его размер, результирующий файл изображения часто оказывается меньше, чем тот, который вы заменяете.
Разметка, по-видимому, будет иметь дело с изображениями меньшего размера, чем раньше, записывая новое изображение поверх старого (например, ваш папа или ваш дедушка записывают футбольный матч на этой неделе поверх игры на пленку видеомагнитофона прошлой недели), а затем усекая файл изображения. к своему новому, более короткому размеру.
Старые данные — окончание футбольного матча на прошлой неделе, по аналогии с нашим видеомагнитофоном — останутся на устройстве хранения, но они больше не будут частью цифрового файла, содержащего новое изображение.
Другими словами, когда вы откроете новый файл, у вас не будет проблемы видеомагнитофона, связанной с включением в него остаточного содержимого изображения, потому что операционная система знала, что нужно прекратить чтение (или копирование) файла в нужном месте.
Таким образом, оставшиеся данные не могли случайно утечь, если вы отправили новый файл кому-то другому или загрузили его в облачный сервис.
Злоумышленнику обычно требуется физический доступ к вашему телефону, он должен знать, как его разблокировать и получить привилегии суперпользователя, а также иметь возможность сделать низкоуровневое криминалистическое изображение неиспользуемых данных для восстановления любых ранее удаленных вещей.
За исключением ошибки.
Обрезать или не обрезать?
Как обнаружил Бьюкенен, функция программирования Java, которую Markup использовала для «открыть существующий файл в режиме усечения» (это означает, что неиспользованные данные, оставшиеся после того, как вы закончите переписывать их, будут обрезаны с конца файла)…
… было изменено, по-видимому, около двух лет назад на «открыть в режиме перезаписи без усечения по завершении».
Другими словами, если вы открыли старый файл и перед его закрытием записали только один единственный байт в начале, новый файл не будет состоять из одного байта с обрезанной остальной частью, как можно было бы ожидать, а будет старым файлом, полностью, с изменением только первого байта.
Остальное было бы целым — совсем не то, что было задумано!
Как обнаружил Бьюкенен, несмотря на то, что данные, оставшиеся от предыдущей версии изображения, были неполными и остались бы нетронутыми, если бы файл был открыт с помощью обычного средства просмотра изображений (которое считывало бы столько, сколько было необходимо, и игнорировало бы лишнее конец)…
…тем не менее, вы можете извлечь эти оставшиеся данные изображения и часто находить в них какой-то смысл, даже если в итоге вы можете получить поток сжатых данных, который начинается на полпути через сжатый блок.
Подобно кассетам видеомагнитофона, где проигрыватель видеомагнитофона может быть не в состоянии немедленно синхронизироваться с оставшейся записью, специально написанная программа распаковки файла PNG может быть не в состоянии понять первые несколько фрагментов оставшихся данных, но часто может восстановить блоки предыдущего изображения, которые следовали позже.
Подобно тем магнитофонным лентам, где оставшаяся часть сама по себе может не стоить многого, вы никогда не можете быть полностью уверены, что осталось, и любому, кто копается в ваших файлах, иногда может повезти с кусками, которые им удалось восстановить.
Это означает, что они могут обнаружить фрагменты изображения из конца предыдущей версии. это было именно то, что вы намеревались удалить.
Грубо говоря, чем больше вы обрезали и сжали исходный файл, тем больше оставшихся данных останется, и тем выше вероятность того, что некоторые из них были именно теми, которыми вы не хотели делиться.
Что делать?
- Патч сейчас. Google, по-видимому, исправила программу разметки в обновлении безопасности Android от марта 2023 года. Вы можете отслеживать это исправление с идентификатором CVE-2023-20136.
- Пересмотрите изображения, которыми вы уже поделились. Изображения, которые вы обрезали и которыми уже поделились, слишком поздно исправлять. Но вы все равно можете рассмотреть возможность их удаления или замены повторно отредактированными изображениями, созданными с помощью исправленной версии разметки.
- Подумайте о консервативном редактировании критически важных для безопасности изображений на своем ноутбуке. Такие форматы файлов, как PNG, могут также включать комментарии и так называемые метаданные (например, информацию о местоположении или сведения о камере), которыми вы никогда не собирались делиться, не говоря уже о непреднамеренном сохранении оставшихся пикселей.
Инструменты командной строки для работы с изображениями, такие как ImageMagick or ГрафикаMagickи инструменты с открытым исходным кодом, такие как Программа обработки изображений GNU, позволяют преобразовывать отредактированные изображения в форматы, в которых вы точно контролируете содержимое.
Например, необработанные файлы RGB содержат только значения цвета каждого пикселя изображения, без заголовков, метаданных и полей комментариев. или другая посторонняя информация или пиксели.
Файлы RGB могут быть огромными, потому что в них нет сжатия для экономии места, но это означает, что вы не теряете качество изображения при преобразовании, даже если вы теряете все данные, которые не являются непосредственной частью интересующего вас изображения. в.
Таким образом, перекодирование изображения в формат RGB, а затем обратно, скажем, в PNG, является одним из способов гарантировать, что вы создадите совершенно новый файл, который ничего не «знает» о том, где и как было создано исходное изображение, или какие теперь удаленные данные он мог ранее содержаться.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
- Источник: https://nakedsecurity.sophos.com/2023/03/21/google-pixel-phones-had-a-serious-data-leakage-bug-heres-what-to-do/
- :является
- $UP
- 1
- 100M
- 2023
- a
- в состоянии
- О нас
- Absolute
- доступ
- Учетная запись
- адрес
- После
- Все
- в одиночестве
- уже
- всегда
- Америка
- и
- android
- кто угодно
- МЫ
- около
- расположены
- AS
- At
- аудио
- автор
- автоматический
- назад
- Фоновое изображение
- BE
- , так как:
- до
- за
- не являетесь
- Немного
- пустой
- Заблокировать
- Блоки
- граница
- Дно
- Ошибка
- by
- под названием
- камера
- CAN
- случаев
- Центр
- шанс
- закрытие
- облако
- CO
- цвет
- комментарий
- Комментарии
- обычно
- Компании
- Рассматривать
- Контейнеры
- содержание
- контроль
- Конверсия
- конвертировать
- копирование
- может
- курс
- чехол для варгана
- Создайте
- создали
- урожай
- Информационная безопасность
- DA
- Бена
- данным
- утечка данных
- Давид
- Дней
- сделка
- подробнее
- обнаруженный
- устройство
- различный
- Интернет
- непосредственно
- открытый
- Дисплей
- Dont
- e
- каждый
- редактирование
- окончания поездки
- обеспечение
- Весь
- цельность
- особенно
- Даже
- Каждая
- точно,
- пример
- существующий
- ожидать
- дорогим
- дополнительно
- извлечение
- Face
- несколько
- Поля
- Файл
- Файлы
- First
- фиксированный
- следует
- футбол
- Что касается
- судебный
- формат
- найденный
- друг
- друзья
- от
- функция
- игра
- получить
- GIMP
- Дайте
- большой
- Жесткий
- Есть
- Заголовки
- высота
- Герой
- Главная
- ЧАСЫ
- Вилла / Бунгало
- зависать
- Как
- How To
- Однако
- HTML
- HTTPS
- огромный
- ID
- идентификатор
- изображение
- изображений
- немедленно
- in
- включают
- включены
- информация
- пример
- заинтересованный
- IT
- ЕГО
- саму трезвость
- Япония
- Java
- JPG
- только один
- Вид
- Знать
- известный
- портативный компьютер
- Фамилия
- Поздно
- Оставлять
- пережиток
- Длина
- Lets
- такое как
- линий
- расположение
- Длинное
- дольше
- терять
- сделать
- управляемого
- Манипуляция
- Март
- Маржа
- Совпадение
- макс-ширина
- смысл
- означает
- Метаданные
- может быть
- минут
- режим
- БОЛЕЕ
- самых
- Необходимость
- необходимый
- Тем не менее
- Новые
- следующий
- "обычные"
- север
- Северная Америка
- номер
- of
- Старый
- on
- ONE
- онлайн
- с открытым исходным кодом
- открытый
- операционный
- операционная система
- оригинал
- Другое
- в противном случае
- собственный
- часть
- Пол
- возможно
- Телефон
- телефоны
- PHP
- физический
- картина
- Pixel
- пластик
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Играть
- игрок
- Точка
- должность
- Блог
- Точно
- предыдущий
- предварительно
- привилегии
- вероятно
- Проблема
- FitPartner™
- Программирование
- опубликованный
- Сырье
- Читать
- Reading
- записанный
- запись
- Recover
- уменьшить
- регулярный
- оставаться
- удаление
- удаление
- запросить
- исследователь
- ОТДЫХ
- в результате
- удерживающий
- Показали
- перезаписи
- RGB
- корень
- Бег
- Сохранить
- экран
- скриншоты
- безопасность
- обновление для системы безопасности
- отправка
- смысл
- серьезный
- обслуживание
- Услуги
- Поделиться
- общие
- показывать
- Шоу
- сигнал
- Размер
- небольшой
- меньше
- So
- Software
- проданный
- твердый
- некоторые
- Кто-то
- удалось
- Space
- Говоря
- стандарт
- Начало
- и политические лидеры
- Станции
- Stop
- диск
- хранить
- поток
- Зачистите
- такие
- Поверхность
- SVG
- система
- взять
- который
- Ассоциация
- мир
- их
- Их
- следовательно
- три
- Через
- время
- в
- слишком
- инструментом
- инструменты
- топ
- ПОЛНОСТЬЮ
- трек
- переход
- прозрачный
- сокращение
- tv
- ТВ-шоу
- Телевизионные станции
- типично
- Uk
- открывай
- под
- Неожиданный
- отпереть
- неиспользованный
- нежелательный
- Обновление ПО
- загружено
- Загрузка
- URL
- обычно
- отпуск
- Наши ценности
- версия
- Видео
- Видео
- наблюдение
- Путь..
- Что
- который
- в то время как
- широкий
- слова
- Мир
- стоимость
- бы
- письмо
- лет
- ВАШЕ
- зефирнет