Google Pixel: Schwerwiegende Lücke gibt Details beschnittener Screenshots preis

Das ist eine Geschichte, von der ihr vermutlich sehr bald überall hören könnt. Eine mittlerweile gepatchte Sicherheitslücke in Pixel-Smartphones könnte Jahre alte Screenshots zur Offenlegung unschöner Details bringen.

Die Kurzform: Seit Android 10 gab es diese Sicherheitslücke, sie wurde mit dem aktuellen März-Patch gestopft. Stellt euch vor, dass ihr mit dem Pixel-Smartphone einen Screenshot macht. Ihr beschneidet den Screenshot im Pixel-Editor und versendet nur den Ausschnitt direkt weiter. Dumm nun, dass es möglich ist, das Weggeschnittene wieder sichtbar zu machen, auch bei alten Screenshots. Schaut euch das Video im folgenden Tweet mal an:

Die technischen Details haben Simon Aarons und David Buchanan hier festgehalten, falls ihr euch über die technischen Hintergründe informieren wollt. Grund war eine API-Änderung durch Google.

Wer noch einen älteren Screenshot hat, der bereits mit dem Standard-Markup-Tool beschnitten wurde, kann diesen ja mal im nicht veränderten PNG-Format hier hochladen. Als Ergebnis sollte das sichtbar sein, was ihr vorab durch das Beschneiden „unsichtbar“ gemacht habt. Solltet ihr keinen bearbeiteten Pixel-Screenshot zur Hand haben, das aber ausprobieren wollen, so findet ihr hier eine Beispieldatei. Der Screenshot entstammt der Diskussion, die es zum Thema derzeit bei Reddit gibt.

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

33 Kommentare

  1. It’s not a bug, it‘s a feature.

  2. Heisenberg says:

    Drei Buchstaben Firmen konnten aus den Metadaten doch schon immer das echte Foto rekonstruieren, das scheint wohl ein Bug in dieser Funktion zu sein wenn es der Pöbel jetzt selber kann.
    Das einzig sichere ist von bearbeiteten Bildern ein Screenshot machen da dann dort die Original meta-dateien nicht mehr vorhanden sind. 🙂

    • > Drei Buchstaben Firmen konnten aus den Metadaten doch schon immer das echte Foto rekonstruieren

      Geschichten aus dem Paulaner Garten 😀

    • Zum Beispiel über F-Droid gibt es dafür die App „Scrambled Exif“, die eben die Exif-Daten und das darin eingebettete Vorschaubild herausnimmt.

      Die hier dargestellte Problematik ist aber anders gelagert, hier sind die vermeintlich gelöschten Bildteile noch in der Datei enthalten, ausdrücklich nicht als Metadaten, sondern in in den Bilddaten, sie werden nur standardmäßig nicht angezeigt, weil die zlib-komprimierten Daten erst an anderer Stelle den Einstieg zur Dekomprimierung und damit Bildanzeige enthalten. Da die Daten aber durchaus vorhanden sind, können sie mit dem entsprechenden Wissen zur Anzeige des ursprünglichen Bildes dekomprimiert werden.

  3. Android… neben der Exynos Problematik die nächste Sache. Könnten nun auf Social Media viele unschöne Dinge hervorkommen.

    Personen im Spiegel, Kreditkarteninformationen,…

    • Heisenberg says:

      Betrift doch aber alle bearbeiteten Fotos wo nach dem bearbeiten nicht die Meta Daten entfernt wurden, hat wohl bis zur News hier nur niemand interessiert. 😉

      • Definiere „Metadaten“. EXIF-Daten bei einem Foto sehen (neben den textuellen Infos) nur ein Thumbnail vor.
        Das was Google hier macht, geht über „Metadaten“ bei weitem hinaus.

    • Der Nachbar der Friseurin meines Tankwarts erzählte mir, dass Paranoide „schon immer“ das Bild anzeigen und dann davon einen Screenshot machen.
      Das soll auch gegen digitale Kennzeichnungen („watermark“) helfen, sagt er.

      • Oliver Müller says:

        Das aktuelle Problem ist ja das beste Beispiel dafür, dass das mit Paranoia nichts zu tun hat. Wer sich trotzdem noch immer darüber lustig macht, hat echt den Schuss nicht gehört.

        • Ich fürchte, Sie missverstunden das verwandte sprachliche Mittel als „Lustig machen“.

          Ich trug besagtem Herrn Ihre Kritik vor und er sagte mir daraufhin, die verwandte Technik heisse „Medienbruch“ und sei ein bewährtes Gegenmittel gegen die Transmission unerwünschter Inhalte in Medien.
          Selbst in der analogen Welt gäbe es Entsprechungen, z.B. die Optokoppler, in der digitalen Welt gab es z.B. in Banken ganze Netzsegmente ohne Zugang zu externen Netzen, in die Daten nur per vorab geprüftem Datenträger (wieder: Medienbruch) übertragen worden seien.

          Man führe so keine fehleranfällige(!) Negativauslese durch („welche Elemente sollen geblockt/unterdrückt werden?“), sondern eine wesentlich sicherere Positivauslese („welche Elemente sollen übertragen werden?“).

    • Fred Schneider says:

      Es geht hier nur um das Werkzeug, das das Pixel direkt nach einem Screenshot anbietet. Google Fotos, also Bilder generell, oder anschließend damit bearbeitete Fotos sind davon nicht betroffen.

      Wer ein Screenshot seines auf dem Display angezeigten Fotos macht, dieses direkt mit dem eingebauten Editor bearbeitet und z.B. per E-Mail weiterleitet, könnte jetzt ein Problem haben. Aber schon der Upload zu Instagram, Twitter oder sonst wo, sollte diesen Datenmüll bereits beim Upload entfernen.

      Wenn ich diese Datei am PC mit IrfanView öffne und einfach als Kopie speichere, werden die Daten schon entfernt und die Datei hat plötzlich statt 1 GB nur noch 300 KB.

  4. SchlitzerMcGurk says:

    Ich denk mal mit meinem Pixel 3a kann ich dann keinen Fix dafür erwarten. Schön dass Google nicht mal für schwerwiegende Lücken eine Ausnahme von der dämlichen 3/5 Jahres Updateregel macht.

    • Gab es da nicht so ein „Versprechen auf Updates“?

      Zum Glück habe ich mein Pixel 3a schon lange mit Gewinn verkauft.

      • SchlitzerMcGurk says:

        Ja und eben für die genannten 3 Jahre im Fall des Pixel 3a. Was aber, wie man sieht, viel zu wenig ist.

    • Die Dinge über die Fotos-App durchführen, diese wird über den PlayStore aktualisiert.

      • SchlitzerMcGurk says:

        Hier gehts aber um die Pixel Markup Software. Wenn dem so wäre dass es über den Playstore aktualisiert werden könnte, dann wäre nicht der März Sicherheitspatch notwendig oder nicht?

        • Es geht darum, dass man als Workaround eine andere App nutzen kann.

          • SchlitzerMcGurk says:

            Ah hab ich falsch verstanden. Danke fürs klarstellen.

            Ja werd ich in Zukunft machen müssen wenn es um sensible Inhalte geht. Einfacher und intuitiver gehts halt über das Markup Tool das gleich aufscheint wenn man den Screenshot gemacht hat

  5. Davon ging ich die ganze Zeit aus.

  6. Wie jetzt die Bilder werden quasi nicht destruktiv beschnitten. Das wäre ja krass!

    • Das Problem scheint doch nur Pixel Geräte zu betreffen. Die sind hier nun nicht ganz so verbreitet im Vergleich zu anderen Android Smartphones…

    • Ja klar, ganz bestimmt. Morgen geht Android pleite und dann der Smartphonehersteller Google. Du bist das neue Delphi…

  7. Also ich finde das mega heftig. Millionen Menschen die irgendwelche Selfies verschicken und nackte Körperteile wegschneiden müssen jetzt damit rechnen, demnächst nackt im Internet zu landen. Wie kann man etwas so schlampig programmieren, dass das Original Bild aus dem beschnittenen Bild rekonstruiert werden kann. Bin nun seit 2010, seit dem Sony Ericsson Xperia X10 mit Android unterwegs aber aktuell denke ich an ein wechsel ui iOS nach. Und schuld ist nur Google…

    • Fred Schneider says:

      Nein, Selfies macht man doch in der Regel eher nicht mit der Screenshot-Funktion und nur die ist betroffen. Google Fotos speichert die bearbeitete Datei zudem immer als eigenständige Kopie ab. Keine Sorge, Deine nackten Körperteile sind in Sicherheit!

      Mal abgesehen davon ist das doch ein Bug im Screenshot-Editor der Pixel-Geräte, den es bei Sony, Samsung was auch immer gar nicht gibt. Und dass iOS absolut fehlerfrei war oder ist, wäre mit neu. Möchte Dir das aber nicht schlecht reden, wünsche viel Spaß damit!

    • Artikel lesen und verstehen…

  8. Maskierte, geschwärzte, oder verpixelte Inhalte sichtbar machen ist nicht gerade neu.
    Das soll nicht das Problem klein reden, aber wer Bilder, oder Dokumente ins Netz stellt,
    der muss damit rechnen, dass diese gegen ihn verwendet werden.
    Wenn nicht gleich, dann vielleicht Jahre später.

  9. Fred Schneider says:

    Ich hab das gerade mit meinem Pixel 6 ausprobiert und ja, wenn ich den eingebauten Editor verwende, lässt sich das Bild (teilweise) wieder herstellen. Zum Glück habe ich das Tool wahrscheinlich heute zum ersten Mal benutzt.

    Offenbar ist es so, dass der Pixel eigene Editor die beschnittene Datei über die Originaldatei schreibt, aber die Datei dabei nicht entsprechend kürzt. Das erkennt man schon daran, dass die Dateigröße des beschnittenen Screenshots fast identisch zu der Originalgröße ist.

    Zumindest Threema und WhatsApp bieten eigene Editoren, die ich für solche Fälle verwende. Bieten andere Apps nicht vergleichbare Funktionen? Wird solcher „Datenmüll“ von den Anbietern beim Upload nicht ohnehin entfernt?

    Bei welchen Anbietern können PNG-Files denn ohne Kompression, so wie sie sind 1:1 als File hochgeladen und dargestellt werden? Macht das vielleicht Forensoftware so? Als wahrscheinlichste Gefahr fällt mir spontan E-Mail-Anhang oder die Freigabe über einen Cloud-Dienst wie Google Drive ein.

  10. Bei jedem Abspeichern eines bearbeiteten Fotos wird angezeigt, dass die Veränderung auch beim Überschreiben rückgängig gemacht werden kann. Wo ist da eine Sicherheitslücke?

  11. Thomas Höllriegl says:

    Die Bezeichnung selbst ist dann doch schon falsch. Es ist kein Zuschneiden sondern ein Verbergen. Zuschneiden bedeutet für mich, dass das Weggeschnittene weg ist, nicht mehr da, futschikato. Und ich halte es sowieso für einen kompletten Unfug, hier beschnittene Bilder so zu speichern, dass das Weggeschnittene immer noch vorhanden ist. Wer macht so etwas?

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.