Wer mit seinem Google Pixel Smartphone Fotos gemacht und Teile davon ausgeschnitten oder geschwärzt hat, dem droht potenziell eine böse Überraschung: Mit einem einfachen Trick werden die getilgten Informationen wieder sichtbar. Ebenfalls betroffen: Das Snipping Tool in Windows 11.
Die Sicherheitsforscher Simon Aarons und David Buchanan haben eine Datenschutz-Schwachstelle in den „Pixel“-Smartphones von Google entdeckt. Auf Bildern, die mit dem eingebautem Bildbearbeitungsprogramm "Markup" bearbeitet wurden, lassen sich Informationen, die in einem aufgenommenen Foto übermalt worden sind, wieder sichtbar machen. So lässt sich das unbearbeitete Originalbild oft vollständig wieder herstellen – inklusive aller vermeintlich geschwärzten oder ausgeschnittenen Details. Die kürzlich gefundene Lücke ermöglicht dabei weder die Installation bösartiger Programme, noch erlaubt sie es Kriminellen, unbemerkt im Hintergrund die Daten abzuzweigen. Das macht die Schwachstelle jedoch nicht harmlos, ganz im Gegenteil. Statt von Kriminellen gestohlen zu werden, versenden die Anwender*innen eventuell vertrauliche oder sicherheitsrelevante Daten gleich selbst – und zwar ganz freiwillig, per Foto.
Dasselbe gilt für das Snipping-Tool in Windows 11.
Die Auswirkungen sind potenziell bedenklich. Von Fotos von vertraulichen Dokumenten über Nacktbilder bis hin zu den erwähnten Kreditkarteninformationen oder Passwörtern schlummern eine Menge vermeintlich unkenntlich gemachter sicherheits- und datenschutzkritischer Informationen in Smartphone-Bildern. Auf einer eigens dafür eingerichteten Webseite ist eine Demonstration verfügbar - wer will, kann die Auswirkungen selbst sehen (probieren Sie dies jedoch niemals mit echten persönlichen Daten).
Gelöscht ist nicht gelöscht
Das Foto der Kreditkarte im Netz ist in Security-Kreisen beinahe zu einem Running Gag geworden. Die meisten Menschen haben jedoch inzwischen begriffen, dass bestimmte Informationen einfach nicht für Twitter, Discord und Co. bestimmt sind. Deshalb gehen viele dazu über, Informationen wie Kreditkartennummern zu schwärzen, oder die unerwünschten Bereiche durch Beschneiden des Fotos auszusparen. So ist es auch eigentlich richtig. Die Werkzeuge dafür bringen Smartphones in der Regel mit, in Form einer einfachen Bildbearbeitung. Schnell das Bild zugeschnitten oder einen schwarzen Balken über die Kreditkartennummer gemalt (oder das Gesicht einer Person, die auf dem Bild nicht erkennbar sein möchte), und schon geht es ab ins Netz. Doch wer von seinem Google Pixel aus ein so bearbeitetes Bild zum Beispiel über Discord versendet hat, hat möglicherweise mehr mitgesendet als beabsichtigt.
Mit dem richtigen Werkzeug lassen sich die übermalten und geschwärzten Inhalte wieder sichtbar machen.
Grundlage für diese Datenschutz-Schwachstelle ist die Art und Weise, wie das Markup-Werkzeug auf Google Pixel-Smartphones die Bilddaten im PNG-Format verarbeitet und speichert. Computer oder Smartphones, die eine Bilddatei öffnen, lesen die Datei „von oben nach unten“. Oben in der Datei steht – vereinfach gesagt – der so genannte „Header“, der dem System sagt, um was für eine Datei es sich handelt. Am Ende der Datei steht eine entsprechende Markierung, die signalisiert „Hier ist die Datei zu Ende“.
Informationen aus dem Müll
Übermalt oder beschneidet jemand in einem Bild etwa ein Gesicht oder eine Kreditkartennummer, so wird innerhalb der Bilddatei die Änderung vermerkt und das neue Bild gespeichert. Auffällig war, dass im Falle der Google-Geräte die Größe der Originaldatei und die Größe eines Bildes, das beschnitten worden war, identisch waren. Obwohl eigentlich die abgeschnittenen Daten verworfen werden sollten, und damit die Datei kleiner hätte sein müssen. Es stellte sich heraus, dass die Datei praktisch neu beschrieben wurde, und der End-Marker der Datei nicht mehr am Ende der bearbeiteten Datei stand, sondern auf einmal mittendrin. Was hinter dem End-Marker steht, liest das Smartphone oder der PC nicht mehr und hält es für nicht relevant, aber es ist noch in der Datei vorhanden.
Die nun „verwaisten“ Bilddaten enthalten – richtig – die vermeintlich gelöschten oder geschwärzten Bildinformationen. Das richtige Verhalten wäre, dass die Bildbearbeitungssoftware die Daten nach dem Ende-Marker der Datei einfach löscht. Das ist jedoch ausgeblieben. Ein entsprechendes Update dürfte bei Google bereits in Vorbereitung sein.
Geschickt gesendet
Bilder, die über Plattformen wie etwa Discord versendet wurden, werden mittlerweile automatisiert so verarbeitet, dass die verwaisten Bilddaten automatisch aus der Datei gelöscht werden. Das passiert jedoch erst seit Januar 2023. Bilder, die davor versendet wurden, sind potenziell nach wie vor in ihrer wiederherstellbaren Form auf Discord-Servern gespeichert.
Wer sichergehen will, dass getilgte Informationen nicht wiederherstellbar sind, kann einen einfachen Trick anwenden: Das Bild wie gewohnt am Smartphone bearbeiten, dann einen Screenshot vom bearbeiteten Bild anfertigen – und diesen dann verschicken. Hier sind dann garantiert keine der unkenntlich gemachten Informationen wiederherstellbar. Gleiches gilt, wenn PNG-Bilder in einem Programm wie Photoshop geöffnet und unter anderem Namen neu abgespeichert werden – auch hier sind hinterher keine Informationen wieder herstellbar.
Bildnachweis:
Tim Berghoff
Security Evangelist