Google Pixel: Sicherheits-Bug bei Screenshot-Bearbeitung
Erst vor wenigen Tagen machte Google durch Schwachstellen in Exynos-Modems von Samsung von sich reden, nun diskutieren Reddit-Nutzer über eine weitere Sicherheitslücke: Einen Bug im Pixel-Screenshot-Editor.
Stellen Sie sich vor, Sie versenden einen Screenshot mit Ihrem Pixel-Smartphone, den Sie zuvor mit dem Pixel-Editor so beschnitten haben, dass sensible Daten nicht mehr sichtbar sind. Im Nachhinein stellen Sie fest, dass der Empfänger den ursprünglichen Screenshot wiederhergestellt und Ihre privaten Daten weiter verbreitet hat. So oder so ähnlich könnte es Nutzern von Pixel-Phones gehen, auf deren Geräten Android 10 oder höher läuft.
Wie es zu der Sicherheitslücke kam
Google Pixel 7
Bild: Google
Legt ein Programmierer die Zugriffsrechte auf Dateien fest, kann er zwischen den Modi "Nur-Lesen (r)", "Nur-Schreiben (w)" und "Lesen-Schreiben (rw)" auswählen. Bearbeitet man den Dateiinhalt im Modus "w", wird die ursprüngliche Datei (in diesem Fall jene des Screenshots) beim Speichervorgang überschrieben. Ist die fertig bearbeitete Datei kleiner als die Ursprungsdatei, werden die nicht mehr benötigten Inhalte automatisch abgetrennt. Infolgedessen lässt sich die Datei nicht mehr in ihren vorherigen Zustand zurückversetzen. Soweit die Theorie.
In Android 10 hat Google jedoch eine API derart verändert, dass der Modus "w" die überschüssigen Daten nicht mehr standardmäßig abtrennt. Ergo sind die ausgeschnittenen Inhalte zwar nicht mehr auf dem bearbeiteten Screenshot zu sehen, aber dennoch in der Datei vorhanden und somit auch wiederherstellbar. Der Bug betrifft alle seit 2019 editierten Screenshots.
Die gute Nachricht: Hat Ihr Pixel-Smartphone bereits das Sicherheits-Update vom März erhalten, sollte dieser Fehler behoben sein.
Tool macht unsichtbare Inhalte wieder sichtbar
Haben Sie noch einen alten Screenshot zur Hand, der vor dem Fix mit dem Pixel-Editor beschnitten wurde, können Sie die Probe aufs Exempel machen und diesen im ursprünglichen PNG-Format auf Acropalypse hochladen. Nach dem Upload sollten die "unsichtbar" gemachten Inhalte wieder sichtbar sein.
In ihren Tweets erläutern die Twitter-Nutzer Gary und Simon Aarons, wie das funktioniert:
Die März-Updates für Pixel-Smartphones hatten sich aus offiziell nicht bekannt gegebenen Gründen verzögert und werden erst seit dem vergangenen Mittwoch ausgerollt. Nutzer eines Pixel 6 müssen sich sogar noch etwas länger gedulden. Ob das Problem bei älteren Pixel-Smartphones, die keine Updates mehr erhalten und mindestens mit Android 10 laufen, überhaupt gefixt wird, ist mehr als fraglich.Neben der Screenshot-Lücke könnten die vom Project-Zero-Team entdeckten Schwachstellen in Exynos-Modems von Samsung, die zahlreiche Smartphones und andere Geräte betreffen, ein Grund für die verspäteten Updates sein.