Geheimnis gelüftet: zugeschnittene und bearbeitete Bilder können wiederhergestellt werden

Bearbeiten Sie Bilder in Windows 11 oder auf Google Pixel? Aufgrund eines Fehlers können versteckte Informationen in zugeschnittenen oder bearbeiteten Bildern wiederhergestellt werden.

Sensible Informationen, die sich auf einem Bild befinden, zu verstecken, scheint ein Kinderspiel zu sein. Mit einem großen schwarzen Marker können Sie Ihre Geheimnisse in einem beliebigen Bildbearbeitungsprogramm einfach unkenntlich machen. Oder noch besser: Sie schneiden einfach den Teil des Fotos oder Screenshots weg, der Ihre persönlichen Daten enthält. Was könnte dabei schon schief gehen?

Eigentlich eine ganze Menge. Wir haben bereits darüber berichtet, wie man Informationen und in Dokumente eingebettete Bilder nicht retuschieren sollte. Doch eine aktuelle Studie hat jetzt gezeigt, dass man trotz aller Vorsichtsmaßnahmen auf die Nase fallen kann – und zwar durch einen Bug im Zusammenhang mit der Bildverarbeitung. Schauen wir uns daher einmal genauer an, wie zwei Standard-Bildbearbeitungsprogramme – eines auf dem Google Pixel und das andere in Windows 11 – vermeintlich versteckte Informationen in Bildern aufdecken können.

 

Wie man versteckte Informationen in Screenshots wiederherstellt, die mit Google Pixel bearbeitet wurden

Angefangen hat alles damit, dass die Sicherheitsforscher Simon Aarons und David Buchanan eine Sicherheitslücke entdeckten, die sie Acropalypse tauften: Wie sich zeigte, speichert Markup, der im Google Pixel integrierte Bildeditor, bearbeitete PNG-Dateien so, dass sie ganz oder teilweise wiederhergestellt werden können.

Bei der Bearbeitung von PNG-Bildern speichert Markup keine komplett neue PNG-Datei, sondern überschreibt die alte Datei auf eine sehr merkwürdige Weise. Wenn Sie ein Bild zuschneiden, verringert sich natürlich seine Bytegröße im Vergleich zum Original. Das Gleiche geschieht, wenn Sie einen Teil eines Bildes mit einer einzigen Farbe übermalen – dank der Komprimierungsalgorithmen, die sehr gut darin sind, einfarbige Bereiche zu komprimieren. Die nach der Bearbeitung in Markup gespeicherte Datei hat jedoch dieselbe Größe wie das Original: Die Anwendung schreibt die neuen Daten einfach über die alten und hinterlässt dabei ein „Fragment“ der ursprünglichen Bilddaten in der Datei. Mit Hilfe eines von den Forschern entwickelten Tools (das online verfügbar ist) ist es so möglich, das Original zumindest teilweise wiederherzustellen.

So illustrieren die Forscher selbst, wie das Ganze abläuft:

Wiederherstellung eines mit Google Pixel Markup bearbeiteten Bildes. Quelle

 

Zu beachten ist, dass der hier als Beispiel genutzte Screenshot sowohl geschwärzt als auch zugeschnitten wurde. Das resultierende Bild ist daher deutlich kleiner als das Original. Nachdem die bearbeitete Version über dem Original gespeichert wurde, bleiben viele nicht überschriebene Daten am Ende der Datei übrig, die wiederhergestellt werden können. Und der nicht bzw. schlecht restaurierte Bereich – das obere Drittel des resultierenden Bildes – enthält zufällig nichts Wichtiges.

Das Beispiel der Forscher sollte demnach als Idealfall betrachtet werden: In der Praxis wird der Erfolg des Tools mit ziemlicher Sicherheit geringer sein, und das Ergebnis dürfte weitgehend von den jeweiligen Umständen abhängen. Das bedeutet jedoch nicht, dass das Problem ignoriert werden kann – diese Sicherheitslücke ist nämlich äußerst unangenehm.

Sie betrifft die folgenden Google-Smartphones (hervorgehoben sind jene Modelle, die nicht länger unterstützt werden und wahrscheinlich keine Updates erhalten werden):

 

  • Google Pixel 3, 3 XL, 3a, 3a XL
  • Google Pixel 4, 4 XL, 4a, 4a(5G)
  • Google Pixel 5, 5a
  • Google Pixel 6, 6 Pro, 6a
  • Google Pixel 7, 7 Pro

 

Neben dem umgangssprachlichen Namen Acropalypse wurde die Sicherheitslücke als CVE-2023-21036 ausgewiesen. Mit dem Android-Update für Pixel-Smartphones im März wurde sie bereits behoben. Das Update kann allerdings keine alten bearbeiteten Screenshots fixen, die bereits veröffentlicht oder anderweitig geteilt wurden.

 

Wie man versteckte Informationen in Screenshots wiederherstellt, die in Windows 11 bearbeitet wurden

Nachdem Aarons und Buchanan ihre Ergebnisse auf Twitter veröffentlicht hatten, nahmen sich andere Forscher der Sache an. In der logischen Annahme, dass andere Bildbearbeitungsprogramme denselben fehlerhaften Mechanismus zum Überschreiben von PNG-Dateien verwenden könnten, begannen sie, nach neuen anfälligen Anwendungen zu suchen. Und sie wurden fündig: Ein vergleichbarer Bug wurde im Snipping Tool, einem Screenshot-Programm in Windows 11, entdeckt.

Das Snipping Tool in Windows 11 weist genau das gleiche Problem auf: Die Anwendung schreibt bearbeitete PNG-Dateien über das Original und wenn die neue Datei kleiner ist, bleiben einige Daten des Originals am Dateiende übrig, aus denen sich das unbearbeitete Bild zumindest teilweise rekonstruieren lässt.

In diesem Artikel auf BleepingComputer finden Sie weitere Einzelheiten.

 

Wiederherstellung eines unter Windows 11 mit dem Snipping Tool bearbeiteten Bildes. Quelle

 

Obwohl in diesem Fall ein kleinerer Teil des Originalbildes wiederhergestellt wurde, ist das Ergebnis dennoch beeindruckend. Das Problem scheint sich nur auf das Snipping Tool unter Windows 11 zu beschränken. Anwender vorheriger Windows-Versionen oder solche, die Screenshots lieber in Paint oder einem vollwertigen Grafikprogramm wie Photoshop bearbeiten, sind nicht betroffen.

Die Sicherheitslücke im Snipping Tool von Windows 11 wurde bislang nicht behoben. Aber selbst mit einem Update wird das Problem für bereits vorhandene Screenshots weiterhin bestehen bleiben.

 

Was kann man tun?

 

Sollten Sie das Snipping Tool unter Windows 11 verwenden oder ein Google Pixel-Smartphone (Generation 3-7) besitzen und irgendwo zurechtgeschnittene oder bearbeitete Screenshots mit Passwörtern gepostet haben, betrachten Sie diese Passwörter als kompromittiert: Ändern Sie diese umgehend. Natürlich wird es Ihnen schwerfallen, sich an jedes dieser Exemplare zu erinnern, und können in jedem Fall nicht viel dagegen tun: Es gibt zwar Python-Skripte und YARA-Regeln, um solche PNG-Bilder zu finden und zu bearbeiten, aber das ist eher etwas für Technikbegeisterte.

Zum Abschluss möchten wir Ihnen noch einige Tipps zur sicheren Bearbeitung von Bildern mit sensiblen Daten an die Hand geben, die Sie online stellen oder an jemanden schicken wollen, von dem Sie nicht wissen, ob Sie ihm voll und ganz vertrauen können:

  • Wenn Sie Ihre Geheimnisse durch Übermalen oder Ausfüllen des Bereichs mit einer Uni-Farbe verbergen möchten, stellen Sie sicher, dass die Deckkraft auf 100 % eingestellt ist.
  • Wenn Sie sich für das Verpixeln oder Verwischen entscheiden, bedenken Sie, dass dieser Vorgang umkehrbar
  • Wenn Sie das Bild zuschneiden, speichern Sie es in einer neuen Datei – bevorzugt über die Option „Für Web speichern“ in Photoshop oder einem gleichwertigen Tool: Ein solches Tool schneidet den unerwünschten Teil der Datei aus Optimierungsgründen definitiv heraus.

 

Bevor Sie ein Bild veröffentlichen, das möglicherweise eines Ihrer Geheimnisse preisgeben könnte, fragen Sie sich, ob es wirklich notwendig ist, es zu veröffentlichen.

Tipps