Även om du aldrig har använt en, vet du förmodligen vad en videobandspelare är (eller var).
Förkortning av videobandspelare, det var hur vi spelade in och tittade på videor hemma på den tiden då digital video lagrad på hårddiskar var det absurt dyra privilegiet för stora företag, vanligtvis TV-stationer.
Kassetterna var små plastbehållare som rymde två rullar och en lång remsa av magnetiskt inspelningsband – ungefär som en gammaldags hårddisk, men med den magnetiska ytan arrangerad i en lång remsa av...
…tja, av plasttejp, 12.7 mm bred (det är 1/2 tum exakt) och cirka 100 m lång för varje timmes inspelning.
(Band såldes med identifierare som t.ex E-120, vilket betyder PAL- eller SECAM-inspelning, som används i större delen av världen, 120 minuter lång, eller T-180, för tre timmars inspelning i NTSC-format, TV-standarden som används i Nordamerika och Japan).
Överbliven data avslöjades i slutet
Få tv-program var exakt lika långa som ett band, så när du spelade in ett program hade du vanligtvis åtminstone lite band kvar i slutet av rullen, vilket skulle vara tomt.
När du såg tillbaka, säg, en 45-minuters show inspelad på ett E-60-band, skulle du få 15 minuters videofuzz (vanligtvis känd som "statisk") om du lämnade bandet igång när showen var slut, tills videobandspelaren detekterade slutet på rullen och lindade försiktigt tillbaka kassetten till nästa gång.
Såvida inte du (eller vännen som hade lånat dig bandet) hade använt det tidigare och spelat in något längre än 45 minuter...
…i så fall skulle du sluta med att titta på den sista delen av det som var över från tiden innan, och när det tog slut, vad som spelades in tiden innan dess, eller tiden före det, och så vidare.
Du får bilden.
Cut-over var aldrig särskilt ren, eftersom videobandspelaren vanligtvis tappade koll på videosignalen när den första inspelningen avslutades och spelade upp en blandning av lutande linjer, partiella bilder som hoppade runt på skärmen, suddiga färger. , och en konstig, förvrängd blandning av olika ljudspår.
Ett tag i alla fall.
Vanligtvis skulle dock videobandspelaren "justera om" sig själv med överbliven data från den tidigare inspelningen, synkronisera om med den gamla videoströmmen och det trassliga, oförståeliga nonsenset på skärmen skulle försvinna.
Du skulle kastas in i slutet av ett okänt TV-program, titta på en semesterinspelning eller titta på någon annan sorts hemmavideo, varav de flesta (men inte alla!) hade gått förlorade när den spelades in.
I själva verket, om du inte raderade hela bandet först, innan du spelade in det, skulle du nästan alltid lämna något oväntat, och kanske oönskat, tidigare innehåll i slutet.
"aCropalypse"-felet
Tja, en brittisk cybersäkerhetsforskare vid namn David Buchanan har just publicerat en Artikeln om en sådan bugg...
…i bildredigeringsverktyget på Googles Pixel-telefoner.
Den kränkande programvaran är tydligen känd som Markup, och det låter dig ta foton eller skärmdumpar som redan finns på din telefon, och beskära eller på annat sätt redigera dem för att ta bort oönskade detaljer innan du skickar dem till dina vänner eller laddar upp dem till onlinetjänster.
Du kanske till exempel vill beskära någon ur bilden för att tvinga deras begäran att inte få deras ansikte delat, eller för att blockera ett användarnamn eller konto-ID i en mjukvaruskärmdump, eller för att dölja någons husnummer för att inte ge bort deras adress.
Som du kan föreställa dig, särskilt när du beskär en bild för att minska dess storlek, blir den resulterande bildfilen ofta mindre än den du ersätter.
Markup skulle tydligen hantera bilder som var mindre än tidigare genom att skriva den nya bilden över den gamla (som att din pappa eller din farfar spelade in veckans fotbollsmatch över matchen på förra veckans videoband) och sedan trunkerade bildfilen till sin nya, kortare storlek.
De gamla uppgifterna – slutet av förra veckans fotbollsmatch, i vår analogi med videobandspelare – skulle ligga kvar på lagringsenheten, men det skulle inte längre vara en del av den digitala filen som innehåller den nya bilden.
Med andra ord, när du öppnade den nya filen, skulle du inte ha videobandspelarens problem med att överblivet bildinnehåll inkluderades i den, eftersom operativsystemet visste att det skulle sluta läsa (eller kopiera) filen vid rätt ställe.
Överbliven data kunde därför inte av misstag läcka om du skickade den nya filen till någon annan, eller laddade upp den till en molntjänst.
En angripare skulle vanligtvis behöva fysisk åtkomst till din telefon, behöva veta hur man låser upp den och får root-privilegier och kunna göra en kriminalteknisk bild på låg nivå av oanvänd data för att återställa tidigare raderade saker.
Förutom buggen.
Att trunkera eller inte trunkera?
Som Buchanan upptäckte, Java-programmeringsfunktionen som Markup brukade använda "öppna den befintliga filen i trunkeringsläge" (vilket betyder att oanvänd data som blir över efter att du hade skrivit om den skulle klippas bort från slutet av filen)...
... ändrades, tydligen för ungefär två år sedan, till "öppna i omskrivningsläge utan trunkering när du är klar".
Med andra ord, om du öppnade den gamla filen och skrev bara en ensam byte i början innan du stängde den, skulle den nya filen inte vara en byte lång med resten avskuren, som du kan förvänta dig, utan den skulle vara den gamla filen, i sin helhet, med endast den första byten ändrad.
Resten skulle vara intakt – inte alls vad som var tänkt!
Som Buchanan fann, även om överbliven data från den tidigare versionen av bilden var ofullständig och skulle lämnas ifred om filen öppnades med en vanlig bildvisare (som skulle läsa så mycket som den behövde och ignorera de extra sakerna på slutet)…
… du kan ändå extrahera den överblivna bilddatan och ofta göra något vettigt av det, även om du kan sluta med en ström av komprimerad data som startade halvvägs genom ett komprimerat block.
Liksom de där videobanden, där videobandspelaren kanske inte kan synkronisera med den överblivna inspelningen omedelbart, kanske ett specialskrivet PNG-fildekomprimeringsprogram inte kan förstå de första bitarna av överbliven data, men kan ofta rekonstruera block av den föregående bilden som följde senare.
Precis som de där videobanden, där den överblivna delen kanske inte är värd mycket i sig själv, kunde du aldrig vara helt säker på vad som hade blivit kvar, och alla som grävde i dina filer kan ibland ha tur med de bitar de lyckades rekonstruera.
Det betyder att de kan avslöja bildfragment från slutet av den tidigare versionen det var precis vad du hade tänkt ta bort.
Löst talat, ju mer du hade beskuren och krympt den ursprungliga filen, desto mer data som blir kvar, och desto större är chansen att en del av det var precis det du inte ville dela.
Vad göra?
- Patcha nu. Google har uppenbarligen patchat Markup-programmet i mars 2023 säkerhetsuppdatering av Android. Du kan spåra denna buggfix med identifieraren CVE-2023-20136.
- Gå tillbaka till bilder du redan har delat. Bilder som du redan har beskuren och delat är för sent att åtgärda. Men du kanske vill överväga att ta bort dem ändå, eller ersätta dem med omredigerade bilder skapade med den korrigerade versionen av Markup.
- Överväg att redigera säkerhetskritiska bilder konservativt på din bärbara dator. Filformat som PNG kan även innehålla kommentarer och så kallad metadata (t.ex. platsinformation eller kameradetaljer) som du aldrig tänkt dela med dig av, än mindre att du oavsiktligt behåller överblivna pixlar från tidigare.
Kommandoradsbildmanipuleringsverktyg som t.ex ImageMagick or GrafikMagick, och verktyg med öppen källkod som t.ex GNU bildmanipulationsprogram, låter dig konvertera redigerade bilder till format där du kontrollerar innehållet exakt.
Till exempel innehåller rå RGB-filer endast färgvärdena för varje pixel i bilden, utan rubriker, metadata eller kommentarsfält. eller annan ovidkommande information eller pixlar.
RGB-filer kan vara enorma, eftersom det inte finns någon komprimering för att spara utrymme, men det betyder att du inte förlorar någon bildkvalitet i konverteringen, även om du förlorar all data som inte är direkt en del av bilden du är intresserad av. i.
Så att omkoda en bild till RGB-format och sedan tillbaka, säg, till PNG, är ett sätt att se till att du skapar en helt ny fil som inte "vet" något om var eller hur den ursprungliga bilden skapades, eller vilken data som nu raderats den kan tidigare ha innehållit.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. Tillgång här.
- Källa: https://nakedsecurity.sophos.com/2023/03/21/google-pixel-phones-had-a-serious-data-leakage-bug-heres-what-to-do/
- :är
- $UPP
- 1
- 100M
- 2023
- a
- Able
- Om oss
- Absolut
- tillgång
- Konto
- adress
- Efter
- Alla
- ensam
- redan
- alltid
- amerika
- och
- android
- någon
- ÄR
- runt
- anordnad
- AS
- At
- audio
- Författaren
- bil
- tillbaka
- bakgrund-bild
- BE
- därför att
- innan
- bakom
- Där vi får lov att vara utan att konstant prestera,
- Bit
- blank
- Blockera
- Block
- gränsen
- Botten
- Bug
- by
- kallas
- rum
- KAN
- Vid
- Centrum
- chans
- stängning
- cloud
- CO
- färg
- kommentar
- kommentarer
- vanligen
- Företag
- Tänk
- Behållare
- innehåll
- kontroll
- Konvertering
- konvertera
- kopiering
- kunde
- Naturligtvis
- täcka
- skapa
- skapas
- gröda
- Cybersäkerhet
- DA
- Pappa
- datum
- dataläcka
- David
- Dagar
- behandla
- detaljer
- detekterad
- anordning
- olika
- digital
- direkt
- upptäckt
- Visa
- inte
- e
- varje
- redigering
- slutar
- säkerställa
- Hela
- helhet
- speciellt
- Även
- Varje
- exakt
- exempel
- befintliga
- förvänta
- dyra
- extra
- extrahera
- Ansikte
- få
- Fält
- Fil
- Filer
- Förnamn
- Fast
- följt
- fotboll
- För
- Forensic
- format
- hittade
- vän
- vänner
- från
- fungera
- lek
- skaffa sig
- GIMP
- Ge
- Googles
- större
- Hård
- Har
- headers
- höjd
- Held
- Hem
- ÖPPETTIDER
- Huset
- hovring
- Hur ser din drömresa ut
- How To
- Men
- html
- HTTPS
- stor
- ID
- identifierare
- bild
- bilder
- blir omedelbart
- in
- innefattar
- ingår
- informationen
- exempel
- intresserad
- IT
- DESS
- sig
- Japan
- java
- jpg
- bara en
- Snäll
- Vet
- känd
- laptop
- Efternamn
- Sent
- Lämna
- Överbliven
- Längd
- Lets
- tycka om
- rader
- läge
- Lång
- längre
- förlorar
- göra
- förvaltade
- Manipulation
- Mars
- Marginal
- Match
- max-bredd
- betyder
- betyder
- metadata
- kanske
- minuter
- Mode
- mer
- mest
- Behöver
- behövs
- Icke desto mindre
- Nya
- Nästa
- normala
- Nord
- nordamerika
- antal
- of
- Gamla
- on
- ONE
- nätet
- öppen källkod
- öppnade
- drift
- operativsystem
- ursprungliga
- Övriga
- annat
- egen
- del
- paul
- kanske
- telefon
- telefoner
- PHP
- fysisk
- Bild
- pixel
- plast
- plato
- Platon Data Intelligence
- PlatonData
- Spela
- Spelaren
- Punkt
- placera
- inlägg
- exakt
- föregående
- tidigare
- privilegier
- förmodligen
- Problem
- Program
- Programmering
- publicerade
- kvalitet
- Raw
- Läsa
- Läsning
- registreras
- inspelning
- Recover
- minska
- regelbunden
- förblir
- ta bort
- bort
- begära
- forskaren
- REST
- resulterande
- kvarhållande
- avslöjade
- omskrivning
- RGB
- rot
- rinnande
- Save
- screen
- skärmdumpar
- säkerhet
- säkerhetsuppdatering
- skicka
- känsla
- allvarlig
- service
- Tjänster
- Dela
- delas
- show
- Visar
- Signal
- Storlek
- Small
- mindre
- So
- Mjukvara
- säljs
- fast
- några
- någon
- något
- Utrymme
- tala
- standard
- starta
- igång
- Stationer
- Sluta
- förvaring
- lagras
- ström
- Strip
- sådana
- yta
- SVG
- system
- Ta
- den där
- Smakämnen
- världen
- deras
- Dem
- därför
- tre
- Genom
- tid
- till
- alltför
- verktyg
- verktyg
- topp
- TOTALT
- spår
- övergång
- transparent
- avkortning
- tv
- tv show
- Tv-stationer
- typiskt
- Uk
- avslöja
- under
- Oväntat
- låsa
- oanvänd
- oönskade
- Uppdatering
- uppladdad
- uppladdning
- URL
- vanligen
- semester
- Värden
- version
- Video
- Video
- tittar
- Sätt..
- Vad
- som
- medan
- bred
- med
- ord
- världen
- värt
- skulle
- skrivning
- år
- Din
- zephyrnet