秘密揭曉:裁剪和編輯的圖片可以恢復
您在 Windows 11 或 Google Pixel 中編輯圖像嗎?由於開發人員錯誤,可以恢復裁剪或編輯圖片中的隱藏訊息。
您可能認為在圖片中隱藏敏感訊息是小菜一碟。只需在任何圖像編輯器中用黑色大記號筆塗抹您的秘密即可。甚至更好:只需裁剪包含您的個人數據的照片或螢幕截圖。可能會出什麼問題?
事實上,相當多。我們已經發布瞭如何不隱藏圖像中的訊息以及如何不修飾文檔中嵌入的圖片。但是最近的一項研究表明,可以說,即使您採取了幾乎所有可以想到的預防措施,您仍然可以進行裁剪 – 而這一切都是由於與圖像處理相關的錯誤。讓我們仔細看看兩種標準的圖像編輯工具——一個在 Google Pixel 上,另一個在 Windows 11 上——如何揭示圖像中本應隱藏的訊息。
如何恢復在 Google Pixel 上編輯的螢幕截圖中的隱藏訊息
這一切都始於安全研究人員Simon Aarons和David Buchanan發現了一個他們命名為Acropalypse的漏洞:事實證明,Google Pixel 內置圖像編輯器 Markup 以一種可以完全或部分恢復編輯過的 PNG 文件的方式保存它們。
在處理 PNG 圖像時,Markup 不會保存一個全新的 PNG 文件,而是以一種非常特殊的方式覆蓋舊文件。當然,如果裁剪圖片,其大小(以字節為單位)與原始圖片相比會減小。如果你用單一顏色覆蓋圖像的一部分,也會發生同樣的事情——這要歸功於非常擅長打包純色區域的壓縮算法。但在 Markup 中編輯後保存的文件與原始文件大小相同:應用程式只是將新數據覆蓋在舊數據之上,在文件中留下初始圖像數據的“尾巴”。借助研究人員創建的工具(可在線獲取),可以部分恢復原件。
以下是研究人員自己如何說明正在發生的事情:
恢復使用 Google 像素標記編輯的圖像。來源
但請注意,此處用作示例的螢幕截圖是經過編輯和裁剪的。因此,重要的是,生成的圖像比原始圖像小得多。將編輯後的版本保存在原始版本之上後,文件末尾有大量未覆蓋的數據可以恢復。完全未修復或修復不當的區域(生成圖片的前三分之一)恰好不包含任何重要內容。
因此,研究人員的演示應該被視為一個理想案例:在現實生活中,該工具的成功率幾乎肯定會更低,而且結果在很大程度上取決於具體情況。但這並不意味著這個問題可以被忽略——這個漏洞即使不是非常令人不快也沒什麼。
它會影響以下 Google 智能手機(突出顯示的是不再受支持且可能不會獲得更新的型號):
- 谷歌 Pixel 3、3 XL、3a、3a XL
- 谷歌 Pixel 4、4 XL、4a、 4a(5G)
- 谷歌 Pixel 5、5a
- 谷歌 Pixel 6、6 Pro、6a
- 谷歌 Pixel 7、7 Pro
除了其俗稱 Acropalypse 外,該漏洞還指定為 CVE-2023-21036。它已經在Pixel 智能手機的 3 月 Android 更新中進行了修補。las,此更新無力修復已發布或以其他方式共享的舊編輯螢幕截圖。
如何恢復在 Windows 11 中編輯的螢幕截圖中的隱藏訊息
在 Aarons 和 Buchanan 在 Twitter 上發布他們的發現後,其他研究人員開始關注這個原因。邏輯上假設其他圖像編輯工具可能使用相同的有缺陷的機制來覆蓋 PNG 文件,他們開始尋找新的易受攻擊的應用程式。他們當然找到了它們:在 Windows 11 中的螢幕截圖實用程式 Snipping Tool 中檢測到類似的錯誤。
Windows 11 Snipping Tool 存在完全相同的問題:應用程式會在原始文件之上覆蓋已編輯的 PNG 文件,並且當新文件較小時,原始文件的一些數據會保留在文件末尾,未剪切的圖像可以從中保留部分重建。
有關詳細訊息,請參閱有關 BleepingComputer 的這篇文章:
恢復使用 Windows 11 截圖工具編輯的圖像。來源
雖然在這種情況下恢復了原始圖像的一小部分,但結果仍然令人印象深刻。請注意,該問題似乎僅限於 Snipping Tool,並且僅限於 Windows 11 版本。因此,使用早期版本 Windows 的用戶,或喜歡在 Paint 或 Photoshop 等功能完善的圖形編輯器中編輯螢幕截圖的用戶,不會受到影響。
Windows 11 Snipping Tool 中的漏洞仍未修復。但是,同樣,即使更新到來,它也不會解決已經存在的螢幕截圖問題。
該怎麼辦?
如果您使用 Windows 11 截圖工具,或擁有 Google Pixel 智能手機(第 3-7 代),並且您在某處發布了帶有密碼的裁剪或編輯的螢幕截圖,請考慮這些密碼已洩露:立即更改它們。當然,您可能很難記住每一個這樣的實例,而且在任何情況下您都無能為力:確實存在用於查找和處理此類 PNG 圖像的Python 腳本和 YARA 規則,但這些僅供技術人員使用。
最後一點,這裡有一些提示,告訴您如何安全地修飾您計劃在線發布或發送給您不認識的人(如果您可以完全信任)的包含敏感數據的圖像:
- 如果您喜歡通過在秘密上繪畫或用純色填充該區域來隱藏秘密,請確保將不透明度設置為 100%。
- 如果您選擇像素化或塗抹,請記住此操作是可逆的。
- 如果您正在裁剪圖像,請將圖像保存到一個新文件中——最好使用 Photoshop 的 Save for Web 工具或等效工具:這樣的工具肯定會為了優化而切掉文件中不需要的部分。
最後,在發布可能會洩露一兩顆豆子的圖片之前,問問自己:真的有必要發布它嗎?