In Google Pixel wurde eine Sicherheitslücke entdeckt, die es ermöglicht, mit dem Screenshot-Tool vorgenommene Änderungen rückgängig zu machen.

Google behebt eine kritische Schwachstelle in seinem Screenshot-Bearbeitungstool. Innerhalb von fünf Jahren war es möglich, an Bildern vorgenommene Änderungen rückgängig zu machen.

Als Google vor einigen Tagen mit der Veröffentlichung seines März-Sicherheitsupdates begann, hat die Firma Mountain View eine „schwere“ Sicherheitslücke im Zusammenhang mit dem Screenshot-Tool Pixel Markup von Google behoben . An diesem Wochenende teilten Simon Aarons und David Buchanan, die Ingenieure, die die fragliche Schwachstelle mit der Bezeichnung CVE-2023-21036 entdeckt haben, weitere Details mit und enthüllten, dass Pixel-Benutzer aufgrund der Art der Schwachstelle immer noch Gefahr laufen, dass ihre alten Bilder kompromittiert werden. Dies ist ein Versehen von Google.

Google behebt kritische Sicherheitslücke in seinem Screenshot-Bearbeitungstool

Zusammenfassend lässt sich sagen, dass diese „aCropalypse“-Schwachstelle es einem Angreifer ermöglichte, einen zugeschnittenen Screenshot eines PNG im Markup zu erstellen und mehrere am Bild vorgenommene Änderungen rückgängig zu machen. Man kann sich leicht Szenarien vorstellen, in denen ein Hacker diese Funktion missbrauchen könnte. Wenn beispielsweise ein Pixel-Besitzer Markup verwendet, um persönliche Informationen in einem Screenshot zu verbergen, könnte jemand diese Sicherheitslücke ausnutzen, um diese Informationen preiszugeben. Der gesamte technische Ablauf ist im Blog von David Buchanan detailliert beschrieben .

Letzterem zufolge besteht dieser Fehler seit etwa fünf Jahren und fällt mit der Veröffentlichung von Markup zusammen mit Android 9 Pie im Jahr 2018 zusammen. Und darin liegt das Problem. Während der Sicherheitspatch vom März verhindert, dass Markup-Bilder in Zukunft kompromittiert werden, sind einige Screenshots, die Pixel-Benutzer möglicherweise in der Vergangenheit geteilt haben, immer noch gefährdet.

Innerhalb von fünf Jahren war es möglich, an Bildern vorgenommene Änderungen rückgängig zu machen.

Es ist schwer vorstellbar, dass sich diese Benutzer über diesen Mangel Sorgen machen sollten. Laut der Manpage , die Simon Aarons und David Buchanan mit 9to5Google und The Verge geteilt haben, und der Hilfeseite, die Simon Aarons und David Buchanan mit 9to5Google und The Verge geteilt haben, verarbeiten einige Websites, darunter Twitter, Bilder so, dass niemand die Sicherheitslücke ausnutzen kann, um mehrere an einem Screenshot oder Foto vorgenommene Änderungen rückgängig zu machen. Doch Nutzer anderer Plattformen hatten weniger Glück. Simon Aarons und David Buchanan bezeichnen Discord als solches und geben an, dass der Dienst dieses Manko erst mit seinem Update vom 17. Januar behoben habe. Es ist derzeit nicht bekannt, ob Bilder, die in anderen Messaging- und Social-Media-Apps gehostet werden, anfällig sind.

Das Sicherheitsupdate vom März ist derzeit für Pixel 4a, 5a, 7 und 7 Pro verfügbar, was bedeutet, dass Markup auf einigen Google Pixeln immer noch anfällige Bilder erzeugen kann. Es ist schwer zu sagen, ob Mountain View eine Lösung für andere Pixel-Geräte anbieten wird. Wenn Sie ein Pixel haben, das nicht über das Update verfügt, vermeiden Sie die Verwendung von Markup zum Teilen von Bildern, die vertrauliche Daten enthalten.

Wir stellen vor: Acrocalypse: Eine schwerwiegende Datenschutzlücke im integrierten Screenshot-Bearbeitungstool Markup von Google Pixel ermöglicht die teilweise Wiederherstellung der ursprünglichen, unbearbeiteten Bilddaten eines zugeschnittenen und/oder bearbeiteten Screenshots. Vielen Dank an @David3141593 für die Hilfe! pic.twitter.com/BXNQomnHbr

– Simon Aarons (@ItsSimonTime) 17. März 2023