Google’ın Pixel telefonlarını içeren yakın tarihli bir keşif, düzenlenmiş ekran görüntülerini paylaşmanın güvenliğiyle ilgili endişeleri artırdı. “aCropalypse” olarak bilinen bu sorun, kullanıcı bilgileri düzenledikten veya bulanıklaştırdıktan sonra bile hassas bilgiler istemeden ekran görüntüleri aracılığıyla ortaya çıkıyor.
Görünen o ki, bu sorunla karşılaşan tek marka Google da değil – Microsoft’un Windows 11 Ekran Alıntısı Aracı’nın da benzer bir güvenlik açığına sahip olduğu ve ekran görüntüsü alırken kullanıcıların özel bilgilerini riske attığı tespit edildi.
aCropalypse güvenlik açığı, tehdit aktörlerinin bir ekran görüntüsünde yapılan düzenlemeleri geri almasına olanak tanıyarak kullanıcının kırpmayı veya bulanıklaştırmayı amaçladığı hassas bilgileri ortaya çıkarıyor.
Bir ekran görüntüsünü düzenlerken, kullanıcılar genellikle düzenlenen görüntüyü orijinal dosyayla aynı adla kaydediyor ve istemeden üzerine yazıyo. Bununla birlikte, Windows 11 Snipping Tool, orijinal bilgileri dosyadan silmiyor, yalnızca sonuna ekliyor ve ortalama bir kullanıcı için görünmez hale getiriyor. Saldırgan, biraz teknik bilgi birikimiyle dosyadaki gizli bilgileri alabiliyor ve düzenlenen içeriğe erişebiliyor.
Ciddi Bir Güvenlik Açığı!
Twitter kullanıcısı Chris Blume, Windows 11 Snipping Tool’daki güvenlik açığını bildirerek daha fazla araştırmaya yol açtı. Başlangıçta Pixel telefonlardaki aCropalypse güvenlik açığını ortaya çıkaran David Buchanan, o zamandan beri Windows 11 Snipping Tool‘un farklı bir renk modeli kullanmasına rağmen benzer şekilde çalıştığını doğruladı.
Düzenlenen ekran görüntülerinin dosya boyutu da güvenlik açığı hakkında ipuçları verebiliyor, çünkü bu görüntüler orijinal görüntüdeki bilgilerin dahil edilmesi nedeniyle genellikle daha büyük.
Bu güvenlik açığı, kullanıcılar görüntüleri paylaşmadan önce hassas bilgileri sık sık kırptığı veya bulanıklaştırdığı için ciddi bir tehdit oluşturuyor. Örneğin, bir kullanıcı Amazon’dan aldığı bir sipariş onayı sayfasının ekran görüntüsünü paylaşarak, göndermeden önce adresini kaldırabiliyor. Ancak bu güvenlik açığı, bir saldırganın adresler, kredi kartı numaraları ve diğer hassas veriler gibi kırpılmış bilgileri almasına olanak verebiliyor.
Güvenlik açığının artık kamuoyu tarafından bilinmesiyle birlikte, yakında bir düzeltmenin yayınlanması bekleniyor. Ancak, düzenlenmiş mevcut ekran görüntüleri etkilenmeye devam edecek, bu nedenle kullanıcılar hassas bilgiler içerebilecek tüm görüntüleri yeniden değerlendirmeli. Saldırganlar muhtemelen potansiyel kurbanlar arıyorlar, bu nedenle tetikte olmak ve kişisel verileri korumak çok önemli.
