روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ فکر می‌کنید پنهان کردن داده‌های حساس در یک تصویر کار آسانی است؟ همینکه محرمانه‌های خود را با ماژیک بزرگ مشکی هر ویرایشگر عکسی پاک کنید کافی است؟ یا حتی سناریو دیگر اینکه: بخشی از عکس یا اسکرین‌شاتی که حاوی داده‌های حساس شما هستند کراپ کنید. کجای کار ایراد دارد؟ خوب باید بگوییم خیلی جاها! ما پیشتر توضیح داده‌ایم چطور نباید اطلاعات در تصاویر را پنهان کنید و چطور ریتاچ کردن تصاویر جاگذاری‌شده در داکیومنت‌ها کار اشتباهی است. اما تحقیقات اخیر نشان می‌دهد هنوز می‌شود حتی وقتی همه جوانب احتیاط را هم رعایت باشید باز هم ممکن است شکست بخورید. بیایید نگاهی عمیق‌تر داشته باشیم بر اینکه چطور دو ابزار ویرایش عکس استاندارد –یکی روی گوگل پیکسل و دیگری روی ویندوز 11- می‌توانند اطلاعات به ظاهر پنهان‌شده را در عکس‌ها برملا کنند. با ما همراه بمانید.

نحوه ریکاور کردن اطلاعات مخفی در اسکرین‌شات‌های ادیت‌شده روی گوگل پیکسل

ماجرا از جایی شروع شد که محققین امنیتی سیمون آرونز و دیوید بوچانان آسیب‌پذیری به نام Acropalypseکشف کردند: به نظر می‌آید Markup–ادیتور تصویر درو‌ن‌سازه‌ایِ گوگل پیکسل- فایل‌های PNG ویرایش‌شده را طوری ذخیره می‌کند که به آن‌ها اجازه می‌دهد تماماً یا به طور جزئی بازیابی شوند. Markup موقع پردازش تصاویر PNG به جای ذخیره فایل PNG کاملاً جدید همان قدیمی را به طرز خاصی اوررایت می‌کند. اگر تصویری را کراپ کنید سایز آن به بایت در مقایسه با سایز اصلی کاهش می‌یابد. همین اتفاق اگر با تک رنگ بخشی از تصویر را رنگ کنید هم اتفاق می‌افتد- به لطف الگوریتم‌های فشرده‌سازی که در پک کردن محدوده‌های تک‌رنگ عالی عمل می‌کنند. اما فایل سیو شده بعد از ادیت در Markup همان سایز اورجینالش را دارد!: اپ صرفاً داده‌های جدید را روی قدیمی‌ها سوار می‌کند و ردی از داده‌های تصویر اولی روی فایل می‌اندازد. و به مدد ابزاری ساخت محققین این امکان اکنون وجود دارد که بشود تصویر عکس اورجینال را تا حدی بازیابی کرد. بیایید ببینیم محققین دقیقاً چه کشفی کردند:

توجه داشته باشید که اسکرین‌شاتی که در نمونه استفاده شده هم ویرایش شده و هم کراپ. از این رو عکس حاصله مشخصاً از اورجینال، کوچک‌تر است. بعد از اینکه نسخه ادیتی روی اورجینال سیو شد کلی داده اوررایت‌نشده آخر فایل وجود دارد که می‌شود ریکاوری‌اش کرد. و محدوده‌ای که تماماً ریستورنشده مانده یا به طرز ناصحیحی بازیابی‌شده –یک‌سوم عکس حاصله- حاوی هیچ چیز مهمی نیست. پس دموی محققین را باید پرونده‌ی ایده‌آل قلمداد کرد: در زندگی واقعی، موفقیت ابزار قطعاً پایین‌تر خواهد بود و نتیجه به طور چشمگیری به شرایط بستگی دارد. اما این بدان معنا نیست که مشکل را باید نادیده گرفت: این آسیب‌پذیری اگر هیچ‌چیز هم نباشد دست کم چندان خوشایند هم نیست.

آسیب‌پذیری مذکور می‌تواند اسمارت‌فون‌های گوگلی که در زیر بدان‌ها اشاره کردیم تحت الشعاع قرار دهد (این فهرست ممکن است به روزرسانی شود):

• Google Pixel 3, 3 XL, 3a, 3a XL
• Google Pixel 4, 4 XL, 4a, 4a(5G)
• Google Pixel 5, 5a
• Google Pixel 6, 6 Pro, 6a
• Google Pixel 7, 7 Pro

افزون بر لقب Acropalypse این آسیب‌پذیری نام رسمی CVE-2023-21036را هم دارد. این آسیب‌پذیری از قبل در آپدیت اندروید در ماه مارس برای اسمارت‌فون‌های پیکسلی پچ شد اما افسوس چنین آپدیتی قدرت فیکس اسکرین‌شات‌هایی که قدیم ادیت شدند، همچنین آن‌هایی که از قبل یا نشر شدند یا به اشتراک گذاشته شدند ندارد.

چطور اطلاعات پنهان‌شده در اسکرین‌شات‌های ادیت‌شده در ویندوز 11 را ریکاور کنیم؟

بعد از اینکه آرونز و بوچانان یافته‌های خود را در توییتر گذاشتند سایر محققین هم علت را بررسی کردند. منطقاً با فرض اینکه سایر ابزارهای ادیت عکس هم ممکن است از همین مکانیزم معیوب برای اوررایت کردن فایل‌های PNG استفاده کنند آن‌ها شروع کردند به بررسی کاربردهای آسیب‌پذیر جدید. و البته به چیزهایی هم رسیدند: باگی مشابه در ابزار Snipping پیدا شد (قابلیت اسکرین‌شات در ویندوز 11). Snipping Tool ویندوز 11 هم دقیقاً این مشکل را داشت: اپ، فایل‌های png ادیت‌شده را روی نسخه اورجینال اوررایت می‌کرد و وقتی فایل جدید کوچک‌تر است برخی داده‌های اورجینال در آخر فایل باقی می‌ماند که از همان می‌شود تصویر برش‌نخورده را تا حدی از نو ساخت.

گرچه در این سناریو، بخش کوچک‌تری از تصویر اورجینال ریستور شد اما نتیجه هنوز قابل‌ملاحظه است. توجه داشته باشید که این مشکل به نظر فقط محدود به  Snipping Tool و منحصراً ویژه نسخه ویندوز 11 است. پس کاربران نسخه‌های اولیه ویندوز یا آن‌های که ترجیح می‌دهند در Paint یا ویرایشگر گرافیکی تمام عیاری چون فوتوشاپ کار ادیت انجام دهند در امانند. آسیب‌پذیری در اسنیپینگ تولِ نسخه‌ی ویندوز 11 هنوز پچ نشده اما باری دیگر بگوییم که حتی وقتی آپدیتی هم برسد این مشکل برای اسکرین‌شات‌های قدیمی حل نخواهد شد.

چه کار کنیم؟

اگر از Windows 11 Snipping Tool استفاده می‌کنید یا اسمارت‌فون گوگل پیکسل (نسل 3 تا 7) دارید و اسکرین‌شات‌های ادیت‌شده یا کراپ‌شده با پسوردی در جایی پست کردید، پسوردها را دستکاری‌شده فرض کرده و سریعاً تغییرشان دهید. مطمئناً شاید همه رمزها یادتان نمانده باشد پس کاری از دستتان ساخته نیست اما اسکریپت‌های پیتون و قوانین یارا برای پیدا کردن و برخورد با چنین تصاویر png وجود دارد که البته استفاده ازشان تخصص لازم دارد. در آخر توصیه‌هایی چند داشته باشیم از نحوه ریتاچ امنِ تصاویری که داده‌های حساس دارد و قرار است در محیط آنلاین پستشان کنید یا برای کسی که هنوز مطمئن نیستید قابل اعتماد است یا نه می‌خواهید ارسال نمایید:

•         اگر ترجیح می دهید رازهای خود را پِینت کردن یا پر کردن محل‌ها با تک رنگ مخفی کنید مطمئن باشید کدر کردن درجه 100 داشته باشد.
•         اگر با شیوه‌ی پیکسلی کردن یا اصطلاحاً smearing راحت‌تر هستید در ذهن داشته باشید که این شیوه برگشت‌پذیر است.
•         اگر کراپ می‌کنید، عکس را روی فایل جدید سیو کنید- ترجیحاً استفاده از ابزار  Save for Web فوتوشاپ یا چیزی معادل آن توصیه می‌شود: چنین ابزاری قطعاً بخش ناخواسته فایل را برای بهینه‌سازی هم که شده برش خواهد داد.

در آخر، پیش از پست کردن با خود بگویید آیا ارزشش را دارد؟!

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.