Pixel-Phones

Google Pixel: Sicherheits-Bug bei Screenshot-Bearbeitung

Bei Google ist eine weitere Sicher­heits­lücke aufge­taucht: Mit dem Pixel-Editor beschnit­tene Screen­shots lassen sich nahezu voll­ständig wieder­her­stellen.
Von Claudia Krüger

Erst vor wenigen Tagen machte Google durch Schwach­stellen in Exynos-Modems von Samsung von sich reden, nun disku­tieren Reddit-Nutzer über eine weitere Sicher­heits­lücke: Einen Bug im Pixel-Screen­shot-Editor.

Stellen Sie sich vor, Sie versenden einen Screen­shot mit Ihrem Pixel-Smart­phone, den Sie zuvor mit dem Pixel-Editor so beschnitten haben, dass sensible Daten nicht mehr sichtbar sind. Im Nach­hinein stellen Sie fest, dass der Empfänger den ursprüng­lichen Screen­shot wieder­her­gestellt und Ihre privaten Daten weiter verbreitet hat. So oder so ähnlich könnte es Nutzern von Pixel-Phones gehen, auf deren Geräten Android 10 oder höher läuft.

Wie es zu der Sicher­heits­lücke kam

Google Pixel 7 Google Pixel 7
Bild: Google

Datenblätter

Legt ein Program­mierer die Zugriffs­rechte auf Dateien fest, kann er zwischen den Modi "Nur-Lesen (r)", "Nur-Schreiben (w)" und "Lesen-Schreiben (rw)" auswählen. Bear­beitet man den Datei­inhalt im Modus "w", wird die ursprüng­liche Datei (in diesem Fall jene des Screen­shots) beim Spei­cher­vor­gang über­schrieben. Ist die fertig bear­bei­tete Datei kleiner als die Ursprungs­datei, werden die nicht mehr benö­tigten Inhalte auto­matisch abge­trennt. Infol­gedessen lässt sich die Datei nicht mehr in ihren vorhe­rigen Zustand zurück­ver­setzen. Soweit die Theorie.

In Android 10 hat Google jedoch eine API derart verän­dert, dass der Modus "w" die über­schüs­sigen Daten nicht mehr stan­dard­mäßig abtrennt. Ergo sind die ausge­schnit­tenen Inhalte zwar nicht mehr auf dem bear­bei­teten Screen­shot zu sehen, aber dennoch in der Datei vorhanden und somit auch wieder­her­stellbar. Der Bug betrifft alle seit 2019 editierten Screen­shots.

Die gute Nach­richt: Hat Ihr Pixel-Smart­phone bereits das Sicher­heits-Update vom März erhalten, sollte dieser Fehler behoben sein.

Tool macht unsicht­bare Inhalte wieder sichtbar

Haben Sie noch einen alten Screen­shot zur Hand, der vor dem Fix mit dem Pixel-Editor beschnitten wurde, können Sie die Probe aufs Exempel machen und diesen im ursprüng­lichen PNG-Format auf Acro­palypse hoch­laden. Nach dem Upload sollten die "unsichtbar" gemachten Inhalte wieder sichtbar sein.

In ihren Tweets erläu­tern die Twitter-Nutzer Gary und Simon Aarons, wie das funk­tio­niert:

Empfohlener externer Inhalt
An dieser Stelle finden Sie einen exter­nen Inhalt von X/Twitter, der den Artikel ergänzt und von der Redak­tion emp­fohlen wird. Sie können ihn sich mit einem Klick anzei­gen lassen und wieder aus­blenden.
Ich bin damit einver­standen, dass mir externe Inhalte ange­zeigt werden. Damit können personen­bezogene Daten an Dritt­plattformen übermittelt werden. Mehr dazu in unserer Daten­schutz­erklärung.
Die März-Updates für Pixel-Smart­phones hatten sich aus offi­ziell nicht bekannt gege­benen Gründen verzö­gert und werden erst seit dem vergan­genen Mitt­woch ausge­rollt. Nutzer eines Pixel 6 müssen sich sogar noch etwas länger gedulden. Ob das Problem bei älteren Pixel-Smart­phones, die keine Updates mehr erhalten und mindes­tens mit Android 10 laufen, über­haupt gefixt wird, ist mehr als frag­lich.

Neben der Screen­shot-Lücke könnten die vom Project-Zero-Team entdeckten Schwach­stellen in Exynos-Modems von Samsung, die zahl­reiche Smart­phones und andere Geräte betreffen, ein Grund für die verspä­teten Updates sein.

Mehr zum Thema Datenschutz