Google Pixel: Exploit erlaubt Wiederherstellen nachträglich geänderter Bilder
Mit Googles Bildbearbeitung zugeschnittene Pixel-Screenshots können per "Acropalypse" reproduziert werden und sensible Daten verraten. Ein Patch ist verfügbar.
(Bild: quietbits/Shutterstock.com)
- Frank Schräer
Eine Sicherheitslücke in der Bildbearbeitung von Googles Pixel-Smartphones ermöglicht, dass nachträglich geänderte Screenshots zum großen Teil wiederhergestellt werden können. Dadurch könnten sensible Daten wie Adressen oder Zahlungsinformationen, die aus den Bildern herausgeschnitten oder übermalt wurden, reproduziert werden. Die Schwachstelle wurde mittlerweile von Google behoben, aber zuvor bereits verbreitete Bilder enthalten die Originalinforationen weiterhin.
Nach Angaben der Entdecker der Sicherheitslücke wurde diese bereits mit Android 9 (Pie) 2018 eingeführt. Seitdem überschreibt Google zwar nachträglich geänderte Screenshots auf Pixel-Smartphones über die Originaldatei, aber behält diese bei, wenn die neue Version kleiner ist als das Original. Das ist etwa dann der Fall, wenn eine Kreditkartennummer oder andere persönliche Informationen abgeschnitten werden. Die Screenshot-Bildbearbeitung Androids (Markup) überschreibt aber nur den Anfang der Originaldatei, der Rest bleibt bestehen. Mit dem "Acropalypse" genannten Exploit könnten böswillige Gesellen die weggeschnittenen oder absichtlich unkenntlich gemachten Daten wiederherstellen.
Die von Simon Aaarons und David Buchanan entdeckte Schwachstelle (CVE-2023-21036) wurde Google Anfang Januar gemeldet. Mit dem März-Update für Android ist diese Sicherheitslücke geschlossen, sodass die Originaldatei von Screenshots nicht mehr wiederhergestellt werden kann. Zuvor erstellte Bildschirmabzüge enthalten die Originaldaten aber weiterhin. Sollten diese etwa bei Discord geteilt worden sein, sind sie also anfällig für den Exploit.
Nicht problematisch bei Twitter, aber Discord
Andere soziale Netzwerke wie Twitter verarbeiten hochgeladene Bilder selbst und entfernen dabei die angehängten, abgeschnittenen Daten. Discord hat diese Funktion erst Mitte Januar dieses Jahres eingeführt, sodass vorher dort hochgeladene Screenshots die überschriebenen Originaldaten weiterhin enthalten. Es ist noch unklar, ob die Behebung der Schwachstelle mit Google koordiniert oder ob es ein zeitlicher Zufall war.
Mit dem März-Update hat Google bereits einige kritische Schwachstellen in Android ausgebessert. Dazu gehört auch die Zero-Day-Lücke mit Samsungs Exynos-Modemchips. Google selbst bezeichnet den Markup-Exploit im Android-Sicherheitsbulletin zwar nicht als kritisch, aber als hohen Schweregrad. Das März-Update wird aktuell für Pixel-Smartphones verteilt, aber gegebenenfalls sollte der Nutzer selbst in den System-Einstellungen prüfen, ob es manuell aufgespielt werden muss.
Anwender können anhand einer Website der Entdecker der Schwachstelle überprüfen, oh ihre nachträglich veränderten Screenshots noch die Originalinforationen enthalten. Dort wählt man zunächst das betroffene Pixel-Modell aus und lädt dann den Bildschirmabzug hoch. Daraufhin wird das vom Exploit wiederhergestellte Bild gezeigt und so verdeutlicht, ob sensible Daten reproduziert werden können.
(fds)