Навіть якщо ви ніколи ним не користувалися, ви, мабуть, знаєте, що таке (або був) відеомагнітофон.
Короткий для відеомагнітофон, саме так ми записували та переглядали відео вдома в дні, коли цифрове відео, що зберігалося на жорстких дисках, було абсурдно дорогим привілеєм величезних компаній, як правило, телевізійних станцій.
Касети являли собою невеликі пластикові контейнери, які містили дві котушки та довгу смужку магнітної стрічки для запису – щось на зразок старовинного жорсткого диска, але з магнітною поверхнею, розташованою у вигляді довгої смужки…
…ну, з пластикової стрічки, шириною 12.7 мм (точніше 1/2 дюйма) і довжиною близько 100 метрів на кожну годину запису.
(Стрічки продавалися з такими ідентифікаторами, як E-120, що означає запис PAL або SECAM, який використовується в більшості країн світу, тривалістю 120 хвилин або T-180, протягом трьох годин запису у форматі NTSC, телевізійного стандарту, який використовується в Північній Америці та Японії).
Залишки даних виявлені в кінці
Кілька телевізійних шоу були рівно довжиною стрічки, тому, коли ви записували шоу, у вас зазвичай залишався принаймні шматок стрічки на кінці котушки, яка була б порожньою.
Коли ви переглядаєте, скажімо, 45-хвилинне шоу, записане на стрічку E-60, ви отримаєте 15 хвилин відеозапису (широко відомого як «статичний»), якщо ви залишите стрічку працювати, коли шоу закінчиться, доки відеомагнітофон виявив кінець бобіни і послужливо перемотав касету для наступного разу.
Якщо, звісно, ви (або ваш друг, який позичив вам касету) використовували її раніше та записували щось довше ніж 45 хвилин…
…у цьому випадку ви в кінцевому підсумку переглянете останню частину того, що залишилося від минулого часу, і коли це закінчиться, те, що було записано перед цим або перед тим тощо.
Ви отримаєте зображення.
Обрізання ніколи не було дуже чистим, тому що відеомагнітофон зазвичай втрачав відстеження відеосигналу, коли закінчувався перший запис, і відтворював мішанину з похилих ліній, часткових кадрів, які стрибали на екрані, розмитих кольорів. , а також дивне, спотворене поєднання різних звукових доріжок.
Принаймні на деякий час.
Однак зазвичай відеомагнітофон «переналаштовувався» на дані, що залишилися від попереднього запису, повторно синхронізувався зі старим відеопотоком, і незрозуміла нісенітниця на екрані зникала.
Вас закинули б у хвіст невідомого телевізійного шоу, дивилися б запис із відпустки або переглядали якесь інше домашнє відео, більшість (але не все!) якого було втрачено під час запису.
По правді кажучи, якщо ви спочатку не стерли всю стрічку перед записом поверх неї, ви майже завжди залишили б наприкінці неочікуваний і, можливо, небажаний попередній вміст.
Помилка «aCropalypse».
Що ж, британський дослідник кібербезпеки на ім’я Девід Б’юкенен щойно опублікував стаття про помилку такого роду...
…в інструменті редагування зображень на телефонах Google Pixel.
Порушне програмне забезпечення, очевидно, відоме як Націнка, а також дозволяє робити фотографії або знімки екрана, які вже є на вашому телефоні, обрізати або іншим чином редагувати їх, щоб видалити небажані деталі, перш ніж надсилати їх друзям або завантажувати в онлайн-сервіси.
Наприклад, ви можете вирізати когось із зображення, щоб змусити його прохати не повідомляти своє обличчя, або заблокувати ім’я користувача чи ідентифікатор облікового запису на знімку екрана програмного забезпечення, або приховати чийсь номер будинку, щоб не розголошувати їх адресу.
Як ви можете собі уявити, особливо коли ви обрізаєте зображення, щоб зменшити його розмір, отриманий файл зображення часто виявляється меншим за той, який ви замінюєте.
Очевидно, розмітка матиме справу із зображеннями меншого розміру, ніж раніше, записуючи нове зображення поверх старого (наприклад, як ваш тато чи ваш дідусь записує цьоготижневий футбольний матч на відеомагнітофон минулого тижня), а потім скорочує файл зображення на новий, коротший розмір.
Старі дані – кінець футбольного матчу минулого тижня, за аналогією з відеомагнітофоном – залишаться на пристрої зберігання, але вони більше не будуть частиною цифрового файлу, що містить нове зображення.
Іншими словами, коли ви відкриваєте новий файл, у вас не виникне проблема відеомагнітофона із включенням у нього залишкового вмісту зображення, оскільки операційна система знала, що потрібно припинити читання (або копіювання) файлу в потрібній точці.
Таким чином, залишкові дані не могли випадково витікти, якщо ви надіслали новий файл комусь іншому або завантажили його в хмарну службу.
Зловмиснику, як правило, потрібен фізичний доступ до вашого телефону, потрібно знати, як його розблокувати та отримати права root, а також мати можливість зробити низькорівневе криміналістичне зображення невикористаних даних, щоб відновити будь-який раніше видалений матеріал.
За винятком помилки.
Обрізати чи не обрізати?
Як виявив Б’юкенен, функція програмування Java, яку використовував Markup «відкрити існуючий файл у режимі скорочення» (це означає, що невикористані дані, які залишилися після того, як ви закінчите їх переписувати, будуть вирізані з кінця файлу)…
…було змінено, очевидно, близько двох років тому, на «відкрити в режимі перезапису без скорочення після завершення».
Іншими словами, якщо ви відкрили старий файл і записали лише один байт на початку перед його закриттям, новий файл не мав би один байт, а решту було б обрізано, як можна було очікувати, а був би старий файл, повністю, зі зміною лише першого байту.
Решта було б неушкодженим – зовсім не те, що було задумано!
Як виявив Б’юкенен, незважаючи на те, що дані, що залишилися з попередньої версії зображення, були неповними, і їх залишилося б, якщо відкрити файл за допомогою звичайного засобу перегляду зображень (який читав би стільки, скільки потрібно, і ігнорував зайві дані на кінець)…
…ви все одно можете витягнути ці залишкові дані зображення та часто знайти в них певний сенс, навіть якщо ви можете отримати потік стиснутих даних, який почався наполовину через стиснутий блок.
Подібно до тих касет відеомагнітофона, де відеомагнітофон може не синхронізуватися із залишками запису негайно, спеціально написана програма розпакування файлу PNG може не мати сенсу в перших кількох фрагментах залишкових даних, але часто може реконструювати залишки. блоки попереднього зображення, які слідують пізніше.
Подібно до тих касет відеомагнітофонів, де залишки самі по собі можуть бути маловартими, ви ніколи не можете бути впевнені, що залишилося позаду, і будь-кому, хто копається у ваших файлах, іноді може пощастити з фрагментами, які їм вдалося реконструювати.
Це означає, що вони можуть виявити фрагменти зображення з кінця попередньої версії це було саме те, що ви мали намір видалити.
Грубо кажучи, чим більше ви обрізаєте та зменшуєте вихідний файл, тим більше залишкових даних залишатиметься, і тим більша ймовірність того, що частина з них була саме тим, чим ви не хочете ділитися.
Що ж робити?
- Латка зараз. Google, очевидно, виправив програму розмітки в оновленні безпеки Android від березня 2023 року. Ви можете відстежити це виправлення помилки за допомогою ідентифікатора CVE-2023-20136.
- Перегляньте зображення, якими ви вже поділилися. Зображення, які ви вже обрізали та поділилися, надто пізно виправляти. Але ви все одно можете видалити їх або замінити повторно відредагованими зображеннями, створеними за допомогою виправленої версії Markup.
- Спробуйте консервативно редагувати критичні для безпеки зображення на своєму ноутбуці. Формати файлів, такі як PNG, також можуть містити коментарі та так звані метадані (наприклад, інформацію про місцезнаходження чи деталі камери), якими ви ніколи не збиралися ділитися, не кажучи вже про випадкове збереження пікселів, що залишилися раніше.
Інструменти командного рядка для обробки зображень, наприклад ImageMagick or ГрафікаMagick, а також інструменти з відкритим кодом, такі як Програма обробки зображень GNU, дозволяють конвертувати відредаговані зображення у формати, де ви точно керуєте вмістом.
Наприклад, необроблені файли RGB містять лише значення кольорів кожного пікселя зображення без заголовків, метаданих і полів коментарів. або інша стороння інформація чи пікселі.
Файли RGB можуть бути величезними, оскільки немає стиснення для економії місця, але це означає, що ви не втрачаєте якість зображення під час перетворення, навіть якщо ви втрачаєте всі дані, які не є безпосередньо частиною зображення, яке вас цікавить. в.
Отже, перекодування зображення у формат RGB, а потім назад, скажімо, у PNG, є одним із способів гарантувати, що ви створите абсолютно новий файл, який нічого не «знає» про те, де чи як було створено вихідне зображення, або які наразі видалені дані він міг міститися раніше.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
- джерело: https://nakedsecurity.sophos.com/2023/03/21/google-pixel-phones-had-a-serious-data-leakage-bug-heres-what-to-do/
- :є
- $UP
- 1
- 100M
- 2023
- a
- Здатний
- МЕНЮ
- абсолют
- доступ
- рахунки
- адреса
- після
- ВСІ
- тільки
- вже
- завжди
- Америка
- та
- чоловіча
- будь
- ЕСТЬ
- навколо
- влаштований
- AS
- At
- аудіо
- автор
- автоматичний
- назад
- фонове зображення
- BE
- оскільки
- перед тим
- за
- буття
- Біт
- Блокувати
- блоки
- border
- дно
- Помилка
- by
- званий
- кімната
- CAN
- випадок
- Центр
- шанс
- закриття
- хмара
- CO
- color
- коментар
- коментарі
- зазвичай
- Компанії
- Вважати
- Контейнери
- зміст
- контроль
- Перетворення
- конвертувати
- копіювання
- може
- Курс
- обкладинка
- створювати
- створений
- урожай
- Кібербезпека
- Папа
- дані
- витоку даних
- Девід
- Днів
- угода
- деталі
- виявлено
- пристрій
- різний
- цифровий
- безпосередньо
- відкритий
- дисплей
- Не знаю
- e
- кожен
- закінчується
- забезпечення
- Весь
- цілісність
- особливо
- Навіть
- Кожен
- точно
- приклад
- існуючий
- очікувати
- дорогий
- додатково
- витяг
- Face
- кілька
- Поля
- філе
- Файли
- Перший
- виправляти
- потім
- футбол
- для
- Криміналістика
- формат
- знайдений
- друг
- друзі
- від
- функція
- гра
- отримати
- Давати
- Google,
- великий
- Жорсткий
- Мати
- Заголовки
- висота
- Герой
- Головна
- ГОДИННИК
- будинок
- hover
- Як
- How To
- Однак
- HTML
- HTTPS
- величезний
- ID
- ідентифікатор
- зображення
- зображень
- негайно
- in
- включати
- включені
- інформація
- екземпляр
- зацікавлений
- IT
- ЙОГО
- сам
- Japan
- Java
- JPG
- Стрибнув
- тільки один
- Дитина
- Знати
- відомий
- портативний комп'ютер
- останній
- Пізно
- Залишати
- Залишки
- довжина
- дозволяє
- як
- ліній
- розташування
- Довго
- довше
- втрачати
- зробити
- вдалося
- Маніпуляція
- березня
- Маржа
- матч
- макс-ширина
- сенс
- засоби
- метадані
- може бути
- хвилин
- режим
- більше
- найбільш
- Необхідність
- проте
- Нові
- наступний
- нормальний
- На північ
- Північна Америка
- номер
- of
- Старий
- on
- ONE
- онлайн
- з відкритим вихідним кодом
- відкритий
- операційний
- операційна система
- оригінал
- Інше
- інакше
- власний
- частина
- Пол
- може бути
- телефон
- телефони
- PHP
- фізичний
- картина
- піксель
- пластик
- plato
- Інформація про дані Платона
- PlatoData
- Play
- гравець
- точка
- положення
- Пости
- точно
- попередній
- раніше
- привілеї
- ймовірно
- Проблема
- програма
- Програмування
- опублікований
- якість
- Сировина
- Читати
- читання
- записаний
- запис
- Відновлювати
- зменшити
- регулярний
- залишатися
- видаляти
- видалення
- запросити
- дослідник
- REST
- в результаті
- утримує
- Показали
- перезапису
- RGB
- корінь
- біг
- зберегти
- Екран
- скріншоти
- безпеку
- відправка
- сенс
- серйозний
- обслуговування
- Послуги
- Поділитись
- загальні
- Показувати
- Шоу
- Сигнал
- Розмір
- невеликий
- менше
- So
- Софтвер
- проданий
- solid
- деякі
- Хтось
- що в сім'ї щось
- Простір
- розмова
- standard
- старт
- почалася
- Станції
- Стоп
- зберігання
- зберігати
- потік
- такі
- поверхню
- SVG
- система
- Приймати
- Дякую
- Що
- Команда
- світ
- їх
- Їх
- отже
- три
- через
- час
- до
- занадто
- інструмент
- інструменти
- топ
- ТОТАЛЬНО
- трек
- перехід
- прозорий
- усічення
- tv
- телешоу
- Телеканали
- типово
- Uk
- розкрити
- при
- Unexpected
- відімкнути
- невикористаний
- небажаний
- Оновити
- завантажено
- Завантаження
- URL
- зазвичай
- відпустку
- Цінності
- версія
- Відео
- Відео
- Дивився
- спостереження
- шлях..
- Що
- який
- в той час як
- широкий
- ширина
- з
- слова
- світ
- вартість
- б
- лист
- років
- Ти
- вашу
- зефірнет