Minulý týden výzkumníci David Buchanan a Simon Aarons upozornili na to, že nástroj pro ořezání obrázků telefonů Google Pixel zcela nevymazal údaje části, která byla s jeho pomocí odstraněna. To znamená, že lze originál fotek ořezaných v tomto nástroji s pomocí specializovaného programu obnovit. Bug byl od anglického slova crop (ořezat) pojmenován jako „acropalypsa.“

Teď se ale ukazuje, že nástroj na telefonech Pixel nebyl tím jediným, kterého se tento bezpečnostní problém týká. Stejným způsobem lze totiž obnovit i ořezané části obrázků zpracovaných systémovou aplikací pro ořez obrázků na Windows 11. Snímek tak zkrátka o ořezaná data fyzicky zcela nepřijde.

Názorně to předvedl experiment webu Bleeping Computer. Každý soubor PNG totiž fyzicky na disku musí označit konec dat tokenem IEND. Za tímto tokenem už by se správně žádná další data nacházet neměla. V případě tohoto bugu ale za tokenem IEND data najdete. Ačkoliv je běžný program pro zobrazení obrázků nepřečte, specializované softwary to dokážou.

51f2c610-3d35-11ee-a5ef-ee0f3d5fb81a.webpZdroj: MicrosoftNotepad v systému Windows 11 získává kontrolu pravopisu po více než čtyřiceti letech

Na obrázcích níže najdete původní snímek, ořezaný obrázek a obrázek obnovený. Ačkoliv se obnovit originál nepodařilo zcela, příklad dobře ilustruje, že množství ořezaných dat lze stejným postupem získat zpět. Pokus provedl web Bleeping Computer s programem od Davida Buchanana, jednoho z výše zmíněných výzkumníků.

Možná si říkáte, proč vlastně jde o bezpečnostní hrozbu. K odpovědi není těžké logicky dojít. Ořezávat můžete třeba fotku své debetní karty nebo snímek zachycující interní informace vašeho zaměstnavatele. A tato data lze získat z ořezaného obrázku, na kterém na první pohled nic není.