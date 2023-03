Kuvien rajaaminen Windowsin ja Pixel-puhelinten työkaluilla voi säilyttää myös alkuperäisen kuvan, tutkijat havaitsivat.

Kuvien käsittelystä puhelimissa ja tietokoneissa löytyi käsittämätön virhe, muun muassa The Verge kertoo. Tietyissä tilanteissa kuvan rajaaminen ja tallentaminen säilyttää myös alkuperäisen kuvan, joka on palautettavissa ainakin osittain.

Aluksi tutkija David Buchanan löysi ongelman Googlen Pixel-puhelinten Markup-työkalusta, mutta myöhemmin kävi ilmi, että sama vika on myös Windows 11:n ja Windows 10:n sisäänrakennetuissa kuvakaappaustyökaluissa.

Windowsissa ongelma koskee 10:n osalta sen uudempaa Leikkaa ja luonnostele -työkalua (Snip & Sketch), ei vanhempaa, useimmissa koneissa silti olevaa Snipping Toolia. Windows 11:n Snipping Tool on altis virheelle. Käytännössä virhe syntyy näin:

Otat haavoittuvalla työkalulla kuvakaappauksen. Painat tallennusnappia kuvan säilömiseksi levylle. Rajaat nyt työkalulla osan kuvasta pois. Tallennat kuvan uudestaan vanhan kuvan päälle.

Tällä tavalla kuvaan jää myös alkuperäinen rajaamaton osa. Sama näyttää koskevan kuvan alueita, jotka on sumennettu.

Ongelma koskee ainakin Windowsin työkalun oletuksena käyttämää png-tiedostomuotoa, mutta Bleeping Computerin mukaan ainakin Windows 11:n osalta myös erittäin yleisiä jpg-tiedostoja.

Virheelle on annettu nimeksi aCropalypse (crop tarkoittaa kuvan rajaamista).

Esimerkkejä pahoista vahingoista on helppo keksiä. Otit kuvan lemmikistäsi sängyllä, mutta siihen eksyi myös vieressä olevan puolison arkaluonteisia alueita, jotka rajaat pois. Tai jaat kuvan uudesta autostasi, mutta peität ensin rekisterikilven.

Buchanan onnistui palauttamaan alkuperäisen kuvan eBay-ostoksensa sähköpostivahvistuksesta. Kuvasta pois rajattu katuosoite oli nähtävissä.

Pahinta on, että netissä jo jaetut tällaiset kuvat ovat periaatteessa nyt vapaata riistaa. Vain jatkossa otetut ja korjatuilla työkaluilla rajatut kuvat ovat turvallisia. Google on päivittänyt työkalunsa, mutta Microsoft sanoo vasta tutkivansa asiaa. Windowsin osalta on siis paras toistaiseksi välttää sen omia työkaluja.

Android-puhelimista paljastui tällä viikolla toinen erittäin hälyttävä haavoittuvuus. Muun muassa useampi Samsungin valmistama puhelin on kaapattavissa pelkällä puhelinsoitolla. Syynä on puhelimien piirisarjassa oleva virhe.

Vaarallisia puhelimia on myynnissä myös Suomessa. Samsung on korjannut osan haavoittuvuuksista joillekin malleille julkaistussa maaliskuun tietoturvapäivityksessä. Yksi haavoittuvuus korjataan vielä myöhemmin huhtikuun tietoturvapäivityksessä.