最近使用Google Pixel 手機的用戶需要注意，你打過碼的照片未必安全！

安全研究人員 Simon Aarons 和 David Buchanan 最近在推特披露稱，Google Pixel 自帶的照片編輯工具Markup存在一個名為“Acropalypse的安全漏洞，能夠還原用戶照片中已經打碼或裁剪掉的內容。

Aarons 分享了一個示例，演示他們如何使用 Acropalypse 漏洞恢復上傳到 Discord 的信用卡照片。最開始，該信用卡卡號碼已使用Markup工具進行了打碼處理。但當他們的利用Acropalypse exploit 運行照片后，已經被打碼的卡號信息得到了還原。

Acropalypse 示例

據悉，這兩名研究人員于今年1月向谷歌報告了該漏洞，谷歌也與3月13日發布的更新中對其進行了修復。分析指出，經過Markup編輯處理的照片有大約80%能夠被恢復，如果用戶將未壓縮的圖片發布至互聯網或社交平臺，就可能導致敏感信息泄露。當然，一些平臺會自動壓縮、重新編碼上傳的照片，從而在一定程度上減少了信息泄露的范圍。

雖然Acropalypse漏洞已經得到修復，但仍需值得注意的是，漏洞存在的時間長達5年之久，這期間已經共享出去的照片難以計數，且沒有任何補救措施。此外，該漏洞廣泛存在于所有運行 Android 9 Pie 及更高版本的 Pixel 型號手機中，一些較老型號的手機并不會在第一時間得到安全更新，安全風險依然存在。

最后，Acropalypse漏洞還會影響其他品牌的定制化Android手機，可能完全沿用原生的Markup對照片進行編輯。