打過(guò)碼的圖片等于沒(méi)打，用Windows的要小心了

上周有外媒爆出了一個(gè)和谷歌隱私安全有關(guān)的小瓜。事兒本身不大，但聊一聊還是蠻有意思的。

報(bào)道講說(shuō)，谷歌自家的Pixel 手機(jī)系統(tǒng)內(nèi)置的 “ Markup ” 截圖工具，存在一個(gè)嚴(yán)重的隱私漏洞。

只要你通過(guò)這個(gè)截圖工具來(lái)剪輯 PNG 格式的圖片，就有一定概率還原出原圖被截掉的其他信息。。。

發(fā)現(xiàn)這個(gè)漏洞的程序員 Simon Aarons，還寫了一個(gè)可以檢測(cè)這個(gè)漏洞的程序 Acropalypse。

只要你把 Pixel 手機(jī)的機(jī)型和用 Markup 裁出的上傳上去，就能得到原圖的其他信息。

世超拿 Pixel 4 試了一下，效果拔群。。。

一石激起千層浪啊，谷歌這事兒被爆出來(lái)之后，被一群碼農(nóng)大佬們順藤摸瓜，發(fā)現(xiàn)類似的 Bug，微軟似乎也有份。

他們直接使用 Windows 系統(tǒng)重的截圖工具，也重現(xiàn)了和谷歌Pixel 一樣的問(wèn)題。

這下問(wèn)題就大條了。

要說(shuō) Pixel 手機(jī)用的人少和咱們關(guān)系也不大，可 Windows 的截圖工具，可是大伙兒經(jīng)常會(huì)摸到的常用工具。

數(shù)以十億計(jì)的用戶，可能在自以為隱私部分已經(jīng)抹掉了的情況下，把截圖發(fā)了出去。

但凡有什么個(gè)人隱私信息，想想都覺(jué)得后脊背發(fā)涼。那世超就好奇了，兩家大廠，在兩個(gè)毫不相關(guān)的系統(tǒng)上，出現(xiàn)了一模一樣的嚴(yán)重錯(cuò)誤。。。

難道是 PNG 的標(biāo)準(zhǔn)實(shí)在是太老被鉆了漏洞，或者是什么基礎(chǔ)軟件有問(wèn)題？

世超懷著揣揣不安的心情，深入調(diào)查了一下這件事兒的來(lái)龍去脈。

先說(shuō)結(jié)論啊：并不是圖像處理和儲(chǔ)存的標(biāo)準(zhǔn)出了問(wèn)題，而是谷歌微軟同時(shí)以不同的方式犯了傻。

首先說(shuō)明一下，這個(gè) Bug 的真正原因，并不是 PNG 透明通道（ RGBA中的A ）的問(wèn)題。這個(gè)有歧義的新聞讓世超原地研究半小時(shí)，下為原文

簡(jiǎn)單來(lái)說(shuō)，這個(gè) Bug 的本質(zhì)，其實(shí)是因?yàn)榻貓D工具沒(méi)有刪除舊圖片數(shù)據(jù)，而是直接把新圖片，覆蓋寫入在了舊圖片的開(kāi)頭。

所以只要新的圖片文件大小小于舊文件，沒(méi)完全用數(shù)據(jù)把原圖覆蓋掉，就留下了可恢復(fù)的舊圖像數(shù)據(jù)。

而標(biāo)準(zhǔn)的 PNG 解碼器，在讀到新 PNG 文件尾的時(shí)候，就不會(huì)再讀下去了，所以剩余的舊數(shù)據(jù)，會(huì)被解碼器直接忽略。

這也是用戶很難發(fā)現(xiàn)舊圖片數(shù)據(jù)泄露的原因：不用特別手段，一般人根本看不出。

不過(guò)，雖說(shuō)問(wèn)題的本質(zhì)一樣，但這兩個(gè)大廠出問(wèn)題的理由卻并不相同。

谷歌是因?yàn)?Android 9 到 Android 10 的時(shí)候，讀寫文件相關(guān)的一個(gè)接口發(fā)生了變動(dòng)，而且沒(méi)有記載在文檔和更新日志里。

祖?zhèn)鞯拇a在舊接口上會(huì)正確刪除舊文件，不會(huì)留下只因腳。然而在新版本下，同樣的代碼就只能覆蓋寫入舊文件，只要新文件小于舊文件，舊文件的殘余部分就會(huì)留下來(lái)。

而微軟這邊的問(wèn)題可能要更大些。。。

根據(jù)微軟的 API 規(guī)則，程序員在調(diào)用覆蓋文件的接口時(shí)，如果沒(méi)有額外的特別指示 Windows 把舊文件刪掉，那么新文件就會(huì)直接從頭開(kāi)始覆蓋舊文件，然后留下一堆舊文件的殘余。

但凡程序員在寫的時(shí)候沒(méi)注意到這個(gè)規(guī)則，就會(huì)有安全風(fēng)險(xiǎn)。。。

至于微軟為何要把這種不安全的行為作為接口的默認(rèn)值，世超只能說(shuō)，或許這就是國(guó)際大廠對(duì)編程的精妙理解吧。

好消息：微軟的接口一直都沒(méi)變過(guò)；壞消息：但是設(shè)計(jì)的和狗屎一樣。

嚴(yán)重的是，隨著這個(gè)漏洞原因的公開(kāi)，已經(jīng)有人在更加常用的 JPG 格式的圖像上發(fā)現(xiàn)了類似的問(wèn)題。

考慮到大多數(shù)截屏和手機(jī)拍照都是 JPG 直出，漏洞擴(kuò)展到 JPG 后，這個(gè)問(wèn)題其實(shí)是是擴(kuò)散了。

而且由于 JPG 和 PNG 的壓縮方式不同，文件頭部被覆蓋的 JPG 舊文件，搞不好還能實(shí)現(xiàn)幾乎完美的還原。。。還原的JPG圖像只是比原圖多了點(diǎn)噪點(diǎn)

這 Bug，好像有那么點(diǎn)剎不住車了。。。好消息是，如今信息安全的概念已經(jīng)深入人心，在我們的隱私完全漏勺之前，其實(shí)還有一道防線。

世超在當(dāng)年試圖成為一個(gè)程序猿的時(shí)候，學(xué)到的第一課，就是絕對(duì)不能信任用戶提交的數(shù)據(jù)。

用戶試圖刪掉網(wǎng)站的用戶數(shù)據(jù)表

一些技術(shù)人員甚至可以利用解碼器 “ 只讀取文件尾之前數(shù)據(jù) ” 的特性，在一張正常圖片的尾部附帶惡意代碼，從而攻擊網(wǎng)站服務(wù)器或其他用戶。

之前在貼吧里流行過(guò)的圖種也是類似原理。

為了清除這些可能有風(fēng)險(xiǎn)的無(wú)關(guān)數(shù)據(jù)，同時(shí)節(jié)約服務(wù)器流量和存儲(chǔ)，一般網(wǎng)站都會(huì)先用解碼器讀取圖片，然后重新編碼成低質(zhì)量的 JPG。

這樣，即使是用戶上傳的圖片里有額外數(shù)據(jù)

（ 比如這次 Bug 留下來(lái)的舊圖 ），也不會(huì)出現(xiàn)在其他用戶那里。

但也有例外。比如說(shuō)，微信和 Discord 就提供下載原圖的選項(xiàng)，而且提供的是真正的原圖。這樣，那些無(wú)關(guān)數(shù)據(jù)就還是公開(kāi)了。

按照安全原則，他們應(yīng)當(dāng)提供 “ 偽原圖 ”

總結(jié)一下，谷歌和微軟這次的 Bug，是兩個(gè)影響相當(dāng)廣泛、原因極其簡(jiǎn)單、后果控制不好可能會(huì)嚴(yán)重的漏洞。

其中一個(gè)從 Android 10（2019）開(kāi)始，影響所有 Pixel 手機(jī)；

另一個(gè)從 Windows 10 （2015）開(kāi)始，影響所有使用系統(tǒng)自帶截圖工具的用戶。

更離譜的是，這兩個(gè)漏洞前幾天才剛剛修復(fù)。。。

世超覺(jué)得，考慮到時(shí)間跨度、受害者數(shù)量和形成原因，這兩個(gè)漏洞完全有資格參與 “ 年度最弱智漏洞 ” 的競(jìng)爭(zhēng)。

但不管怎么樣，在關(guān)系到用戶隱私信息這一塊的問(wèn)題，谷歌和微軟確實(shí)應(yīng)該加強(qiáng)代碼的檢查。

各家互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)商，也應(yīng)該以此為戒，避免在公共場(chǎng)合分發(fā)原始圖片的原文件，這不僅可能損害自家服務(wù)器的安全，而且還可能暴露用戶的隱私。

原圖信息中甚至還能有地點(diǎn)定位信息

從咱們用戶自己的角度來(lái)說(shuō)，世超的建議也很簡(jiǎn)單：在任何公開(kāi)平臺(tái)都不要上傳原圖！不要上傳原圖！不要上傳原圖！

當(dāng)圖片經(jīng)過(guò)在本地完成解碼 —— 重新編碼上傳的過(guò)程，原圖上的信息自然也就會(huì)被處理。

安全這塊兒，還得是自己把住最后一關(guān)。。。