【資料圖】

如果你在 Windows 11 中使用截圖工具進行了裁剪或編輯，并分享了這些截圖，那么你的隱私可能會面臨風險。

最近發(fā)現(xiàn)，Windows 11 內(nèi)置的截圖編輯工具也存在一個被稱為“aCropalypse”的安全漏洞，這個漏洞使得可以從裁剪或編輯后的圖像中部分恢復(fù)原始圖像。最初這個漏洞是由安全研究人員Simon Aarons和David Buchanan發(fā)現(xiàn)的，并在2023年1月向Google報告。Google在其2023年3月的安全補丁中為Pixel 4A、5A、7和7 Pro發(fā)布了修復(fù)程序。

然而，由于這個漏洞存在了五年之久才被發(fā)現(xiàn)，因此在過去五年中分享的裁剪/編輯過的圖像可能存在風險，具體取決于它們被分享到的平臺。

根據(jù)分享給9to5Google的FAQ頁面（本文撰寫時不可用），這個漏洞存在的原因是因為Markup將編輯后的圖像文件保存在與原始文件相同的位置，而沒有先擦除原始文件。如果編輯后的文件小于原始文件，則原始文件的尾部部分仍然留存在保存位置中，這部分原始文件可以通過反向工程的漏洞利用進行恢復(fù)。這個漏洞和利用程序的完整技術(shù)細節(jié)詳見Buchanan的博客，并且研究人員還創(chuàng)建了一個演示工具，用于恢復(fù)受影響的Pixel照片。

但是，似乎Google團隊并不是唯一一個在他們的代碼中忽略了這個漏洞的團隊，因為Windows 11的截圖工具和Windows 10的Snip & Sketch（但不包括Windows 10的Snipping Tool）似乎也存在相同的漏洞 - 盡管如Buchanan指出的那樣，它們是完全不相關(guān)的代碼庫。Buchanan在Windows 11上測試了修改后的漏洞利用程序，并能夠恢復(fù)大部分原始圖像。

(Image credit: David Buchanan/Twitter)

毫無疑問，這不太好，考慮到人們通常會對圖像進行裁剪和編輯以保護信息、身份等等。而且，雖然某些平臺（如Twitter）上傳圖像時會剝離那些尾隨數(shù)據(jù)，但其他平臺（如Discord）則沒有這樣做（或者直到2023年1月17日的更新之前是沒有這樣做的）。 (Image credit: Simon Aarons/Twitter)

Aarons用一張被馬賽克處理過的信用卡截圖進行演示，這張圖片在上傳到Discord時已經(jīng)被裁剪。利用這個漏洞對已 下載 的圖像進行操作，可以恢復(fù)約80％的原始圖像，包括被“涂黑”的數(shù)字。 Buchanan表示，Snipping Tool版本11.2302.20.0（目前普通用戶無法使用但可以手動安裝）似乎已經(jīng)修復(fù)了這個問題。但是，我現(xiàn)在不確定是否應(yīng)該信任任何內(nèi)置的截圖編輯工具（雖然一旦我意識到Apple的Markup工具有撤銷功能，我就再也不相信它們了）- 最好只使用第三方工具進行裁剪。