近年來,各種互聯網隐私洩露事件頻出。
對于常年上網沖浪,各種私人數據存于雲端的網友來說,實在不是啥好事。
一邊是我們無法割舍的移動互聯網,一邊是盯着我們隐私伺機而動的黑産分子。
哪怕是在網上,咱們需要操心的事兒,一點也不少。
圖源:百度
世界上本沒有路,走的人多了,便成了路。
互聯網隐私也同理,像微博這種一下子洩露 5 億信息的,也很快被黑産分子做成了 " 社工庫 "。
所謂社工庫呢,就是黑客們将洩露的數據用戶數據進行整合,然後方便客戶們查詢的數據庫。
比如小雷把自己的微博主頁鏈接輸入進去,社工庫一秒就能查出我微博綁定的手機号。
甚至能再根據我手機号,查出我手機号注冊所綁定的 QQ 号,這波是内褲都被扒光了 ...
好在,手機和電腦廠商都嗅到了用戶對隐私保護的需求,近年來不斷推出相關功能,隻爲讓咱們更省心沖浪。
就拿國産手機來說,小米家的 MIUI 前兩年推出了【照明彈】功能。
App 在後台悄悄做了什麽,用戶一目了然。
圖源:手機截圖
應用在申請危險權限時,系統還會發出紅色警告。
如果自己決定該權限不能給,選擇給予【空白權限】,欺騙 App 就完事兒。
當然啦,在處處都能漏風的今天,光靠中端廠商的功能加持,依然沒法完全守住我們的個人隐私。
因爲小雷最近發現,連那個國際科技巨頭 -- 谷歌都翻車了。
其實仔細想想,谷歌最近的隐私安全翻車事件還真不少。
光是去年年底,谷歌就被曝出自家安卓系統有個大漏洞,有一位老哥用一張 SIM 直接把手機鎖屏密碼給幹掉了。
整個過程不超兩分鍾,而且經過它測試,幾乎所有搭載原生安卓系統的手機,都能用這方法破解。
最後谷歌也是給那位小哥獎勵 7 萬美元,光速修複漏洞,才把這事兒擺平。
然而 2023 年還沒過半,濃眉大眼的谷歌,又來整新活兒了。
今年三月份,有一位逆向工程師發現,谷歌 Pixel 手機内置截圖編輯工具,出現了嚴重隐私漏洞。
圖源:推特
那位工程師表示,如果用戶用了谷歌手機自帶的圖片編輯工具,給圖片打碼。
那這張圖片的隐私性和安全性,就形同虛設了 ...
因爲他實測過,用特定的手段,可以把經過谷歌手機打碼的圖片,完全 " 恢複 " 成未打碼的模樣。
他先從論壇上,找到一張由 Pixel 手機打碼的圖片,接着下載到本地,用自己做好的 " 屏幕截圖恢複工具 " 進行處理。
結果大夥都看到了,原來被黑色塗鴉覆蓋的信用卡号,被 100% 精準還原。
而且毫無處理痕迹,說是原圖都不過分 ...
诶不對啊,說好的圖片打碼不能恢複呢?
一般來說,我們給圖片打碼或者塗鴉,是對原圖像素進行了破壞。
即使用 AI 算法,也無法對經過馬賽克的圖片,進行準确還原。
圖源:Github
那這位工程師到底做了啥,能把打碼圖片,恢複到原圖的樣子呢?
有一說一,這個鍋就得讓谷歌來背了。
平時咱們用截圖打碼工具,處理邏輯是這樣的。
這樣一來,咱們打碼後的圖片,幾乎沒有被惡意還原的風險。
原圖 → 打碼編輯 → 編輯完成 → 删除原圖 → 生成修改後的圖
而谷歌這邊,它内置在 Pixel 手機上的圖片編輯工具,處理邏輯就很離譜。
谷歌在處理打碼圖片時,并沒有把原圖給删掉,而是用打碼的部分合并到原圖。
既然打碼圖片帶有原圖信息,想要将其還原就不難了,對于做逆向編程的工程師來說,更是有手就行。
原圖 → 打碼編輯 → 編輯後的圖與原始圖像合并 → 生成新文件
圖源:9to5google
至于谷歌爲啥要保留原圖信息,小雷猜測,谷歌是想讓用戶随時撤銷圖片的更改。
說白了,這是種犧牲隐私來換取便利的做法。
而國内手機廠商的普遍做法是,編輯後保留兩份圖片。
一份是不含原圖信息的打碼圖,另一份是未經處理過的原圖。
這樣一來,既方便用戶用原圖繼續編輯,經過編輯處理的圖,也不會包含原圖信息。
非要說缺點的話,大概就是圖片多占一點空間。
但起碼打碼圖的安全性有保證,多吃點存儲,我覺得無傷大雅 ...
反觀谷歌這邊,影響是大得一批,連官方都将這漏洞評級爲 " 高危害性 "。
圖源:Google
而且啊,那位工程師已經做出了一鍵恢複原圖的網頁程序。
把谷歌手機編輯的打碼圖片,上傳到該網頁,不到 5 秒就能獲得原圖。
有網友測試了好幾張用 Pixel 手機編輯的打碼圖片。
沒有意外,那些圖片都能通過 " 恢複程序 ",把被打碼覆蓋的信息還原出來。
更離譜的是什麽呢?根據那位曝光漏洞的工程師所言,這個漏洞起碼存在了有五年之久。
大夥可以想想,這期間有多少經過谷歌手機打碼的圖片,被上傳到各大社交平台。
考慮到谷歌相冊恐怖的用戶量,網友可能在網上随手下載一張打碼圖,就能一鍵恢複成無碼 ...
一時間,全網在用谷歌手機和谷歌相冊的用戶都慌了。
比如這位老哥,他這幾年來,一直把經過谷歌手機打碼處理的圖片,上傳到 Discrod 論壇 ...
那些被打碼的圖片信息中,可能有銀行卡密碼、親朋好友的肖像,甚至是身邊人的裸照。
數量之龐大、影響之久遠,是谷歌一家公司沒法完全解決的 ...
So,最後還是得讓其他社交平台給谷歌兜底。
目前的情況是,推特已經重新處理了平台上的圖像,我猜測大概是改了下壓縮算法,讓原圖信息丢失。
而 Discord 這邊,則是在 1 月修複了漏洞,但在此之前被上傳到平台的圖片,可就沒法處理了。
用戶們隻能雙手合十,祈禱黑客們别批量爬取圖片來作惡。
而小雷瞅見,谷歌并不是第一個犯錯的公司。
在那位工程師曝出谷歌漏洞沒多久,又有網友發現,Windows 系統的截圖工具,也有着相似的毛病。
大概原理就不贅述了,都是爲了方便用戶撤回修改,把修改後的圖片和原圖合并在一起。
這就給了黑客恢複原圖的操作空間。
不過微軟頭還是很鐵的,雖然官方承認了有這個漏洞,但人家表示嚴重性不大,等咱們修複就完事。
圖源:微軟
看到這裏,小雷恍然大悟。
原來微信截圖和發送圖片畫質壓縮那麽差,不單純是爲了節省成本。
它還考慮到用戶們的圖片隐私安全,生怕圖片過于高清,保留了原圖信息,被黑客利用。
它真的溫柔,我哭死。
不過調侃歸調侃,小雷還是建議大家截圖打碼時,用一些專業的圖片處理工具來處。
畢竟圖片的隐私重要性,可比文字高太多了。