/cdn.vox-cdn.com/uploads/chorus_asset/file/24100063/226337_Pixel_7_and_7_Pro_AKrales_0110.jpg){kind=tracking}
Google Pixel-এর ডিফল্ট স্ক্রিনশট এডিটিং টুল, মার্কআপ-কে প্রভাবিত করে এমন একটি নিরাপত্তা ত্রুটি ছবিগুলিকে আংশিকভাবে “কাঁচা” হতে দেয়, সম্ভাব্যভাবে ব্যবহারকারীদের গোপন করা ব্যক্তিগত তথ্য প্রকাশ করে, যেমনটি পূর্বে উল্লেখ করা হয়েছে 9to5গুগল এবং অ্যান্ড্রয়েড পুলিশ. দুর্বলতা, যে ছিল বিপরীত প্রকৌশলীদের দ্বারা আবিষ্কৃত সাইমন অ্যারনস এবং ডেভিড বুকানান, তখন থেকে Google দ্বারা প্যাচ করা হয়েছে, কিন্তু এখনও আপডেটের আগে ভাগ করা সম্পাদিত স্ক্রিনশটগুলির জন্য ব্যাপক প্রভাব রয়েছে৷
যেমন বর্ণনা করা হয়েছে অ্যারনস টুইটারে পোস্ট করেছেন এমন একটি থ্রেড, যথাযথভাবে নামের “aCropalypse” ত্রুটিটি কাউকে মার্কআপে সম্পাদিত PNG স্ক্রিনশটগুলিকে আংশিকভাবে পুনরুদ্ধার করতে দেয়৷ এর মধ্যে এমন পরিস্থিতি রয়েছে যেখানে কেউ হয়তো তাদের নাম, ঠিকানা, ক্রেডিট কার্ড নম্বর বা স্ক্রিনশটে থাকা অন্যান্য ব্যক্তিগত তথ্য ক্রপ বা স্ক্রাইব করার জন্য টুলটি ব্যবহার করেছে। একজন আক্রমণকারী এই দুর্বলতাকে কাজে লাগিয়ে সেই পরিবর্তনগুলির কিছু প্রত্যাবর্তন করতে পারে এবং এমন তথ্য পেতে পারে যা ব্যবহারকারীরা ভেবেছিলেন যে তারা লুকিয়ে রেখেছে।
একটি আসন্ন প্রায়শই জিজ্ঞাসিত প্রশ্ন পৃষ্ঠায় প্রথম দিকে প্রাপ্ত 9to5গুগল, অ্যারনস এবং বুকানান ব্যাখ্যা করেন যে এই ত্রুটিটি বিদ্যমান কারণ মার্কআপ মূল স্ক্রিনশটটিকে সম্পাদিত ফাইলের মতো একই ফাইল অবস্থানে সংরক্ষণ করে এবং কখনই মূল সংস্করণটি মুছে দেয় না। যদি স্ক্রিনশটটির সম্পাদিত সংস্করণটি আসলটির থেকে ছোট হয়, “নতুন ফাইলটি শেষ হওয়ার পরে আসল ফাইলের শেষ অংশটি রেখে দেওয়া হবে।”
অনুসারে বুকাননের কাছে, এই বাগটি প্রথম দেখা গিয়েছিল প্রায় পাঁচ বছর আগে, প্রায় একই সময়ে Google Android 9 Pie আপডেটের সাথে মার্কআপ চালু করেছিল। এটিই এটিকে আরও খারাপ করে তোলে, কারণ মার্কআপের সাথে সম্পাদিত এবং সোশ্যাল মিডিয়া প্ল্যাটফর্মে শেয়ার করা বছরের পুরনো স্ক্রিনশটগুলি শোষণের জন্য ঝুঁকিপূর্ণ হতে পারে৷
প্রায়শই জিজ্ঞাসিত প্রশ্ন পৃষ্ঠায় বলা হয়েছে যে টুইটার সহ নির্দিষ্ট সাইটগুলি প্ল্যাটফর্মে পোস্ট করা ছবিগুলিকে পুনরায় প্রক্রিয়া করে এবং ত্রুটিটি সরিয়ে দেয়, অন্যরা, যেমন ডিসকর্ড, তা করে না। ডিসকর্ড শুধুমাত্র সাম্প্রতিক 17 জানুয়ারী আপডেটে শোষণটি প্যাচ করেছে, যার অর্থ সেই তারিখের আগে প্ল্যাটফর্মে ভাগ করা সম্পাদিত চিত্রগুলি ঝুঁকির মধ্যে থাকতে পারে। অন্যান্য প্রভাবিত সাইট বা অ্যাপ আছে কিনা এবং যদি তাই হয়, কোনটি তা এখনও পরিষ্কার নয়।
Aarons দ্বারা পোস্ট করা উদাহরণ (উপরে এম্বেড করা) ডিসকর্ডে পোস্ট করা ক্রেডিট কার্ডের একটি ক্রপ করা ছবি দেখায়, কার্ড নম্বরটিও মার্কআপ টুলের কালো কলম ব্যবহার করে ব্লক করা হয়েছে। একবার অ্যারনস ছবিটি ডাউনলোড করে এবং aCropalypse দুর্বলতাকে কাজে লাগালে, ছবির উপরের অংশটি দূষিত হয়ে যায়, কিন্তু তিনি এখনও ক্রেডিট কার্ড নম্বর সহ মার্কআপে সরানো অংশগুলি দেখতে পারেন৷ আপনি বুকাননের ব্লগ পোস্টে ত্রুটির প্রযুক্তিগত বিবরণ সম্পর্কে আরও পড়তে পারেন।
অ্যারনস এবং বুকানান জানুয়ারীতে Google-কে ত্রুটি (CVE-2023-21036) রিপোর্ট করার পরে, কোম্পানি পিক্সেল 4A, 5A, 7, এবং 7 প্রো-এর জন্য মার্চের নিরাপত্তা আপডেটে “উচ্চ” হিসাবে রেট করা তীব্রতা সহ সমস্যার সমাধান করেছে। দুর্বলতা দ্বারা প্রভাবিত অন্যান্য ডিভাইসগুলির জন্য এই আপডেটটি কখন উপলব্ধ হবে তা স্পষ্ট নয় এবং Google অবিলম্বে মন্তব্য করেনি প্রান্তআরো তথ্যের জন্য অনুরোধ. আপনি যদি দেখতে চান কিভাবে সমস্যাটি নিজের জন্য কাজ করে, তাহলে আপনি অ্যারনস এবং বুকানান দ্বারা তৈরি এই ডেমো পৃষ্ঠায় মার্কআপ টুলের একটি আপডেট না করা সংস্করণ সহ সম্পাদিত একটি স্ক্রিনশট আপলোড করতে পারেন। অথবা আপনি কিছু চেক আউট করতে পারেন ভীতিকর উদাহরণ ইন্টারনেটে পোস্ট করা হয়েছে।
Google-এর নিরাপত্তা দল আবিষ্কার করার মাত্র কয়েকদিন পর এই ত্রুটিটি প্রকাশ্যে আসে যে Pixel 6, Pixel 7, এবং নির্দিষ্ট Galaxy S22 এবং A53 মডেলের Samsung Exynos মডেম হ্যাকারদের “দূরবর্তীভাবে ডিভাইস অ্যাক্সেস করতে” অনুমতি দিতে পারে। শুধুমাত্র একজন শিকারের ফোন নম্বরের সাথে আপস করতে পারে। . গুগল তার মার্চ আপডেটে সমস্যাটি প্যাচ করেছে, যদিও এটি এখনও পিক্সেল 6, 6 প্রো এবং 6A ডিভাইসের জন্য উপলব্ধ নয়।