Categories: MobileSmartphone

Pixel-Smartphones: Bug gibt beschnittene Bereiche von Screenshots preis

Google hat mit dem März-Patchday eine skurrile Sicherheitslücke in seinen Pixel-Smartphones geschlossen. Screenshots, die vor der Installation der jüngsten Updates angefertigt und mit dem bordeigenen Markup-Tool bearbeitet wurden, lassen sich unter Umständen zumindest teilweise in den unbearbeiteten Zustand zurückversetzen.

Entdeckt wurde die auch aCropalypse bezeichnete Schwachstelle im Januar vom Sicherheitsforscher Simon Aarons, wie 9to5Google berichtet. Zudem entwickelte David Buchanan einen ersten Exploit für die Anfälligkeit mit der Kennung CVE-2023-21036. Im März-Security-Bulletin gibt Google an, dass von der Lücke ein hohes Sicherheitsrisiko ausgeht.

Web-App macht Änderungen an Screenshots rückgängig

An einem Beispiel zeigen die beiden Forscher, welche gravierenden Folgen der Fehler im Markup-Tool haben kann. Wurde beispielsweise ein Screenshot aus einer Banking-App zugeschnitten und zudem Details wie beispielsweise eine Kreditkartennummer geschwärzt, ist es möglich, den Zuschnitt und auch das Schwärzen rückgängig zu machen. Die Wiederherstellung ist im Nachhinein auch bei Screenshots möglich, die beispielsweise über einen Messenger verschickt wurden. Betroffen sind zudem jegliche Screenshots, die mit einem Pixel-Smartphone ab Modell Pixel 4 vor Installation der März-Updates erstellt wurden.

Über eine Webanwendung können Nutzer Screenshots im Browser hochladen und nach Auswahl des Pixel-Modells, welches das Bildschirmfoto gemacht hat, wiederhergestellt werden. Allerdings gibt es gewisse Einschränkungen.

Offenbar nur “stark” veränderte Screenshots betroffen

Der Bug beruht auf dem Umstand, dass das Markup-Tool den bearbeiteten Screenshot einfach über das unbearbeitete Bild schreibt, ohne vorher die Daten des unbearbeiteten Bilds zu löschen. Hat der bearbeitete Screenshot eine kleinere Dateigröße als das Ausgangsbild, bleibt ein Teil der unbearbeiteten Daten in der bearbeiteten Datei erhalten. Allerdings sind diese Daten “fehlerhaft” und werden beim Öffnen des Bilds nicht angezeigt. Die von den Forschern entwickelte Webanwendung ist in der Lage, Teile der nicht überschriebenen Daten der Screenshot-Datei wiederherzustellen. “20 Prozent des Bilds wurden zerstört, aber der Rest des Bilds – inklusive der Kreditkartennummer – ist vollständig wiederherstellbar”, kommentieren die Forscher dem Bericht zufolge das von ihnen gewählte Beispiel.

Bei Versuchen von Silicon.de mit einem Pixel 6a und Sicherheitspatch-Ebene 5. Februar 2023 zeigte sich, dass beispielsweise das reine Schwärzen von Teilen eines Screenshots beispielsweise nicht dazu führt, dass das bearbeitete Bild kleiner ist als das Ausgangsbild. Wird nur ein kleiner Teil des Ausgangsbilds abgeschnitten und zusätzlich größere Bereiche des Screenshots geschwärzt, wird die Dateigröße ebenfalls nur unzureichend reduziert – die Web-Anwendung aCropalypse meldete jeweils, dass keine Daten zur Wiederherstellung vorliegen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Gartner: Public-Cloud-Ausgaben steigen auf mehr als 675 Milliarden Dollar

Prognostiziertes jährliches Wachstum von mehr als 20 Prozent wird durch GenKI-fähige Anwendungen in großem Maßstab…

16 Minuten ago

Podcast: Zero Trust zum Schutz von IT- und OT-Infrastruktur

"Das Grundprinzip der Zero Trust Architektur hat sich bis heute nicht geändert, ist aber relevanter…

4 Tagen ago

Malware April 2024: Aufstieg des Multi-Plattform-Trojaners „Androxgh0st“

Androxgh0st zielt auf Windows-, Mac- und Linux-Plattformen ab und breitet sich rasant aus. In Deutschland…

4 Tagen ago

Selbstangriff ist die beste Verteidigung

Mit autonomen Pentests aus der Cloud lassen sich eigene Schwachstelle identifizieren.

5 Tagen ago

Prozessautomatisierung im Distributionslager

Die Drogeriekette Rossmann wird ihr neues Zentrallager in Ungarn mit Software von PSI steuern.

5 Tagen ago

Wie autonome Fahrzeuge durch Quantencomputing sicherer werden können

Automobilhersteller planen, Quantentechnologie zunehmend auch bei fortschrittlichen Fahrerassistenzsystemen (ADAS) einzusetzen.

6 Tagen ago