Am Anfang März, Google ein Update veröffentlicht für seine Flaggschiff-Pixel-Smartphones, um eine Schwachstelle im Standard-Bildbearbeitungstool der Geräte, Markup, zu beheben. Seit seiner Einführung im Jahr 2018 in Android 9 hinterließ das Tool zum Zuschneiden von Fotos von Markup Daten in einer zugeschnittenen Bilddatei, die verwendet werden konnte, um einen Teil oder das gesamte Originalbild über die Grenzen des Zuschnitts hinaus zu rekonstruieren. Obwohl die Sicherheitsanfälligkeit jetzt behoben ist, ist sie erheblich, da Pixel-Benutzer seit Jahren beschnittene Bilder erstellen und in vielen Fällen vermutlich teilen, die möglicherweise immer noch die privaten oder sensiblen Daten enthalten, die der Benutzer zu löschen versuchte. Aber es kommt noch schlimmer.
Der als „aCropalypse“ bezeichnete Fehler wurde von dem Sicherheitsforscher und College-Studenten Simon Aarons entdeckt und ursprünglich an Google übermittelt, der an der Arbeit mit seinem Reverse-Engineer-Kollegen David Buchanan zusammenarbeitete. Die beiden waren fassungslos, als sie diese Woche entdeckten, dass eine sehr ähnliche Version der Schwachstelle auch in anderen Dienstprogrammen zum Zuschneiden von Fotos aus einer völlig separaten, aber ebenso allgegenwärtigen Codebasis vorhanden ist: Windows. Das Windows 11 Snipping Tool und das Windows 10 Snip & Sketch Tool sind anfällig, wenn ein Benutzer einen Screenshot macht, ihn speichert, den Screenshot zuschneidet und die Datei dann erneut speichert. Mit Markup beschnittene Fotos hingegen behielten zu viele Daten bei, selbst wenn der Benutzer den Beschnitt vor dem ersten Speichern des Fotos anwendete.
Microsoft teilte WIRED am Mittwoch mit, dass ihm „diese Berichte bekannt“ seien und dass es „Untersuchungen“ durchführe, und fügte hinzu: „Wir werden bei Bedarf Maßnahmen ergreifen“.
„Es war wirklich überwältigend, es war, als hätte der Blitz zweimal eingeschlagen“, sagt Buchanan. „Die ursprüngliche Android-Schwachstelle war bereits so überraschend, dass sie noch nicht entdeckt worden war. Es war ziemlich surreal.“
Jetzt, da die Schwachstellen bekannt sind, haben die Forscher begonnen Aufdecken alter Diskussionen in Programmierforen, wo Entwickler das seltsame Verhalten der Zuschneidewerkzeuge bemerkten. Aber Aarons scheint der erste gewesen zu sein, der die potenziellen Auswirkungen auf Sicherheit und Datenschutz erkannt hat – oder zumindest der erste, der die Ergebnisse Google und Microsoft vorgetragen hat.
„Ich habe es tatsächlich gegen 4 Uhr morgens zufällig bemerkt, als ich entdeckte, dass ein kleiner Screenshot, den ich mit weißem Text auf schwarzem Hintergrund gesendet hatte, eine 5-MB-Datei war, und das schien mir nicht richtig zu sein“, sagt Aarons.
Bilder, die von aCropalypse betroffen sind, können oft nicht vollständig wiederhergestellt werden, aber sie können im Wesentlichen rekonstruiert werden. Aarons bereitgestellte Beispiele, einschließlich eines, in dem er seine Kreditkartennummer wiederherstellen konnte, nachdem er versucht hatte, sie aus einem Foto auszuschneiden. Kurz gesagt, es gibt eine Menge Fotos da draußen, die mehr Informationen enthalten, als sie sollten – insbesondere Informationen, die jemand absichtlich zu entfernen versucht hat.
Microsoft hat noch keine Fixes veröffentlicht, aber selbst die von Google veröffentlichten beheben die Situation für vorhandene Bilddateien nicht, die in den Jahren beschnitten wurden, als das Tool noch anfällig war. Google weist jedoch darauf hin, dass Bilddateien, die in einigen sozialen Medien und Kommunikationsdiensten geteilt werden, die fehlerhaften Daten möglicherweise automatisch entfernen.