上周有外媒爆出了一個(gè)和谷歌隱私安全有關(guān)的小瓜,。事兒本身不大,，但聊一聊還是蠻有意思的。

報(bào)道講說(shuō),，谷歌自家的Pixel 手機(jī)系統(tǒng)內(nèi)置的 “ Markup ” 截圖工具,，存在一個(gè)嚴(yán)重的隱私漏洞。

只要你通過(guò)這個(gè)截圖工具來(lái)剪輯 PNG 格式的圖片,，就有一定概率還原出原圖被截掉的其他信息,。。,。

發(fā)現(xiàn)這個(gè)漏洞的程序員 Simon Aarons,，還寫(xiě)了一個(gè)可以檢測(cè)這個(gè)漏洞的程序 Acropalypse,。

只要你把 Pixel 手機(jī)的機(jī)型和用 Markup 裁出的上傳上去,，就能得到原圖的其他信息。

世超拿 Pixel 4 試了一下，效果拔群,。,。。

一石激起千層浪啊，谷歌這事兒被爆出來(lái)之后,，被一群碼農(nóng)大佬們順藤摸瓜,，發(fā)現(xiàn)類(lèi)似的 Bug，微軟似乎也有份,。

他們直接使用 Windows 系統(tǒng)重的截圖工具,，也重現(xiàn)了和谷歌Pixel 一樣的問(wèn)題。

這下問(wèn)題就大條了。

要說(shuō) Pixel 手機(jī)用的人少和咱們關(guān)系也不大,，可 Windows 的截圖工具,，可是大伙兒經(jīng)常會(huì)摸到的常用工具。

數(shù)以十億計(jì)的用戶(hù),，可能在自以為隱私部分已經(jīng)抹掉了的情況下,，把截圖發(fā)了出去。

但凡有什么個(gè)人隱私信息,，想想都覺(jué)得后脊背發(fā)涼,。那世超就好奇了，兩家大廠(chǎng),，在兩個(gè)毫不相關(guān)的系統(tǒng)上,，出現(xiàn)了一模一樣的嚴(yán)重錯(cuò)誤。,。,。

難道是 PNG 的標(biāo)準(zhǔn)實(shí)在是太老被鉆了漏洞，或者是什么基礎(chǔ)軟件有問(wèn)題,？

世超懷著揣揣不安的心情,，深入調(diào)查了一下這件事兒的來(lái)龍去脈,。

先說(shuō)結(jié)論啊：并不是圖像處理和儲(chǔ)存的標(biāo)準(zhǔn)出了問(wèn)題,，而是谷歌微軟同時(shí)以不同的方式犯了傻,。

首先說(shuō)明一下,，這個(gè) Bug 的真正原因,，并不是 PNG 透明通道（ RGBA中的A ）的問(wèn)題。這個(gè)有歧義的新聞讓世超原地研究半小時(shí),，下為原文

簡(jiǎn)單來(lái)說(shuō),，這個(gè) Bug 的本質(zhì),，其實(shí)是因?yàn)榻貓D工具沒(méi)有刪除舊圖片數(shù)據(jù)，而是直接把新圖片,，覆蓋寫(xiě)入在了舊圖片的開(kāi)頭,。

所以只要新的圖片文件大小小于舊文件，沒(méi)完全用數(shù)據(jù)把原圖覆蓋掉,，就留下了可恢復(fù)的舊圖像數(shù)據(jù),。

而標(biāo)準(zhǔn)的 PNG 解碼器,，在讀到新 PNG 文件尾的時(shí)候，就不會(huì)再讀下去了,，所以剩余的舊數(shù)據(jù),，會(huì)被解碼器直接忽略。

這也是用戶(hù)很難發(fā)現(xiàn)舊圖片數(shù)據(jù)泄露的原因：不用特別手段，一般人根本看不出,。

不過(guò),，雖說(shuō)問(wèn)題的本質(zhì)一樣,，但這兩個(gè)大廠(chǎng)出問(wèn)題的理由卻并不相同。

谷歌是因?yàn)?Android 9 到 Android 10 的時(shí)候,，讀寫(xiě)文件相關(guān)的一個(gè)接口發(fā)生了變動(dòng),，而且沒(méi)有記載在文檔和更新日志里。

祖?zhèn)鞯拇a在舊接口上會(huì)正確刪除舊文件,，不會(huì)留下只因腳。然而在新版本下,，同樣的代碼就只能覆蓋寫(xiě)入舊文件,，只要新文件小于舊文件，舊文件的殘余部分就會(huì)留下來(lái),。

而微軟這邊的問(wèn)題可能要更大些,。,。。

根據(jù)微軟的 API 規(guī)則,，程序員在調(diào)用覆蓋文件的接口時(shí),，如果沒(méi)有額外的特別指示 Windows 把舊文件刪掉，那么新文件就會(huì)直接從頭開(kāi)始覆蓋舊文件,，然后留下一堆舊文件的殘余,。

但凡程序員在寫(xiě)的時(shí)候沒(méi)注意到這個(gè)規(guī)則，就會(huì)有安全風(fēng)險(xiǎn),。,。。

至于微軟為何要把這種不安全的行為作為接口的默認(rèn)值,，世超只能說(shuō),，或許這就是國(guó)際大廠(chǎng)對(duì)編程的精妙理解吧。

好消息：微軟的接口一直都沒(méi)變過(guò),；壞消息：但是設(shè)計(jì)的和狗屎一樣,。

嚴(yán)重的是,，隨著這個(gè)漏洞原因的公開(kāi)，已經(jīng)有人在更加常用的 JPG 格式的圖像上發(fā)現(xiàn)了類(lèi)似的問(wèn)題,。

考慮到大多數(shù)截屏和手機(jī)拍照都是 JPG 直出,，漏洞擴(kuò)展到 JPG 后，這個(gè)問(wèn)題其實(shí)是是擴(kuò)散了,。

而且由于 JPG 和 PNG 的壓縮方式不同,，文件頭部被覆蓋的 JPG 舊文件，搞不好還能實(shí)現(xiàn)幾乎完美的還原,。,。。還原的JPG圖像只是比原圖多了點(diǎn)噪點(diǎn)

這 Bug,，好像有那么點(diǎn)剎不住車(chē)了。,。,。好消息是，如今信息安全的概念已經(jīng)深入人心,，在我們的隱私完全漏勺之前,，其實(shí)還有一道防線(xiàn)。

世超在當(dāng)年試圖成為一個(gè)程序猿的時(shí)候,，學(xué)到的第一課,，就是絕對(duì)不能信任用戶(hù)提交的數(shù)據(jù)。

用戶(hù)試圖刪掉網(wǎng)站的用戶(hù)數(shù)據(jù)表

一些技術(shù)人員甚至可以利用解碼器 “ 只讀取文件尾之前數(shù)據(jù) ” 的特性,，在一張正常圖片的尾部附帶惡意代碼,，從而攻擊網(wǎng)站服務(wù)器或其他用戶(hù),。

之前在貼吧里流行過(guò)的圖種也是類(lèi)似原理,。

為了清除這些可能有風(fēng)險(xiǎn)的無(wú)關(guān)數(shù)據(jù),，同時(shí)節(jié)約服務(wù)器流量和存儲(chǔ)，一般網(wǎng)站都會(huì)先用解碼器讀取圖片,，然后重新編碼成低質(zhì)量的 JPG,。

這樣，即使是用戶(hù)上傳的圖片里有額外數(shù)據(jù)

（ 比如這次 Bug 留下來(lái)的舊圖 ）,，也不會(huì)出現(xiàn)在其他用戶(hù)那里,。

但也有例外,。比如說(shuō)，微信和 Discord 就提供下載原圖的選項(xiàng),，而且提供的是真正的原圖,。這樣，那些無(wú)關(guān)數(shù)據(jù)就還是公開(kāi)了,。

按照安全原則,，他們應(yīng)當(dāng)提供 “ 偽原圖 ”

總結(jié)一下,，谷歌和微軟這次的 Bug，是兩個(gè)影響相當(dāng)廣泛,、原因極其簡(jiǎn)單,、后果控制不好可能會(huì)嚴(yán)重的漏洞,。

其中一個(gè)從 Android 10（2019）開(kāi)始，影響所有 Pixel 手機(jī),；

另一個(gè)從 Windows 10 （2015）開(kāi)始,，影響所有使用系統(tǒng)自帶截圖工具的用戶(hù)。

更離譜的是,，這兩個(gè)漏洞前幾天才剛剛修復(fù),。。,。

世超覺(jué)得,，考慮到時(shí)間跨度、受害者數(shù)量和形成原因,，這兩個(gè)漏洞完全有資格參與 “ 年度最弱智漏洞 ” 的競(jìng)爭(zhēng),。

但不管怎么樣，在關(guān)系到用戶(hù)隱私信息這一塊的問(wèn)題,，谷歌和微軟確實(shí)應(yīng)該加強(qiáng)代碼的檢查,。

各家互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)商，也應(yīng)該以此為戒,，避免在公共場(chǎng)合分發(fā)原始圖片的原文件,，這不僅可能損害自家服務(wù)器的安全，而且還可能暴露用戶(hù)的隱私,。

原圖信息中甚至還能有地點(diǎn)定位信息

從咱們用戶(hù)自己的角度來(lái)說(shuō),，世超的建議也很簡(jiǎn)單：在任何公開(kāi)平臺(tái)都不要上傳原圖,！不要上傳原圖！不要上傳原圖,！

當(dāng)圖片經(jīng)過(guò)在本地完成解碼 —— 重新編碼上傳的過(guò)程,，原圖上的信息自然也就會(huì)被處理,。

安全這塊兒，還得是自己把住最后一關(guān),。,。。