早年间电脑截图这项技能未被大多数人掌握时,许多人应该都使用过手机拍屏幕这个原始的方式。但由于较低的画面质量极其影响其他用户的观感,常常受到大家的调侃。
但到了 Win10、11 ,预装的截图工具让门槛大幅降低。Win+Shift+S 就能快速打开,开始菜单搜索找起来也非常便捷。
裁剪大小、涂抹一些敏感隐私信息方便了大家分享。
不过最近 Win11 的截图工具(Snip Tool)、Win10 的截图和草图(Snip & Sketch)被曝出存在重大安全漏洞。推特用户 @David3141593 演示,经截图工具编辑的图片仍可能恢复到编辑前的状态。
为了隐藏敏感个人信息或者不可描述的内容,裁切、涂抹、打上马赛克是每个合格网友分享图片前的基本操作。结果别人可以轻易利用漏洞将其还原到「无码」状态,恐怖如斯。
该漏洞其实并不是 Windows 独有,也不是最近才发现。Google Pixel 手机自带的图片编辑功能存在这个漏洞已有五年之久,漏洞命名 aCropalypse 。
该漏洞基本原理是编辑器处理后的图片会默认保存至原来的位置,而没有先删除原图。如果编辑后的图片大小小于原图,在保存时便会将原图文件的尾部部分保留到新图上。
虽然编辑后的图片本身看不到这部分信息,但却可利用脚本将这部分恢复出来。研究人员为此还创建了一个恢复此类图片的网站,可见这有多容易。
Win10、11 截图工具的漏洞也和它一样,根据其说法大概就只是像素格式的差别。
为何会有这样神奇的逻辑?其实保留尾部信息不是一点道理都没有。任何编辑工作随手保存是个好习惯,但常常我们保存后也不希望就此丧失 撤销 这一重要功能。
Pixel 手机、Win10/11 截图编辑工具的问题就在于开发人员偷懒了。单独创建包含编辑信息的临时文件就完全不会出现这样的问题。就算是为了快而直接编辑文件,复制一份副本不也可以避免?
好在终于 Google 在今年3月的安全补丁中已针对修复了 Pixel 手机编辑工具的这个漏洞。而 Win10 自带其实有两个截图软件:Snipping
Tool 截图工具 和 Snip & Sketch 截图和草图,前者不受影响。
Win10 “Snipping Tool 截图工具” 不受影响微软目前也在 Win11 Canary 测试修复了该漏洞的截图工具新版本(11.2302.20.0)。如果没问题应该很快推送至 Win10、11 正式版。
相信已曝出的几个工具将会很快修复完成,但如果此前你已用过它们来编辑图片并上传到网上…
Windows 和 Android 原本是完全不同的代码平台,能犯同一个错误也算是线头落针眼了。但有了这一茬,小蝾很难不怀疑其他平台自带图片编辑工具到底有没有同样的算法漏洞。许多都可以在保存后快速撤销操作,万一开发人员脑回路都一样呢?
虽然不确定还会不会有相同漏洞曝出,但小蝾还是建议重要、特殊图片尽量少用它们来打码或者裁切了。如果非要用,保存时使用 另存为 保存至别的文件夹吧。