Googleは2023年3月のGoogle Pixelアップデートにおいて、スクリーンショットエディタであるMarkupに編集前の画像データが残っている脆弱性があるとし修正を行った。この脆弱性は「CVE-2023-21036」として追跡され、深刻度は「高(High)」と分析されており注意が必要(参考「Pixel Update Bulletin—March 2023  |  Android Open Source Project」)。

この脆弱性(CVE-2023-21036、別名: aCropalypse)が発見された経緯やその危険性は「Exploiting aCropalypse: Recovering Truncated PNGs | Blog」に説明がまとまっている。

  • Exploiting aCropalypse: Recovering Truncated PNGs|Blog

    Exploiting aCropalypse: Recovering Truncated PNGs|Blog

該当部分のソースコードはGoogleが保持しているソースコードであるため、具体的にどのような問題が発生したのかなどを知ることは難しいとしつつ、発見されたスクリーンショットデータを分析した結果、Markupが編集後のデータを上書き保存するものの、元の画像データが残ったままになってしまっていることがわかったと指摘している。

脆弱性を偶然発見した開発者であるSimon Aarons氏は、Twitterにおいて、サンプルとしてクレジットカード番号部分を黒塗りしたクレジットカード画像から、クレジットカード番号が消される前のオリジナルの画像が取り出せる例を紹介している(参考「Introducing acropalypse: a serious privacy vulnerability in the Google Pixel's inbuilt screenshot editing tool, Markup, enabling partial recovery of the original, unedited image data of a cropped and/or redacted screenshot. Huge thanks to @David3141593 for his help throughout! / Twitter」)。

問題はすでに修正されていることから、該当する製品を使用している場合はアップデートを適用することが望まれる。なお、この脆弱性の影響により、オリジナルの画像が残ったままの編集後の画像がさまざまな場面で使われている可能性あり、それらデータがどの程度の影響をもたらすことになるかは把握できない状況にある。

該当する製品を利用しており、かつ、該当する機能を使って個人情報などのマスク処理を行ったことがある場合、編集後の画像データを外部のサービスにアップロードしてしないかを確認するとともに、今後発生する可能性のあるリスクなどに備えることが望まれる。