Google Pixel: Softwarefehler erlaubt Zensur und Zuschnitt von Screenshots rückgängig zu machen
Google Pixel Smartphones hatten über die vergangenen fünf Jahre einen Softwarefehler, der es ermöglicht, Screenshots, die direkt auf dem Smartphone bearbeitet oder zugeschnitten wurden, wieder auf den Originalzustand zurückzusetzen. Das ist insbesondere dann problematisch, wenn ein Screenshot zensiert wurde, um persönliche Daten zu entfernen, die nachträglich einfach wieder sichtbar gemacht werden können.
Der Entwickler Simon Aarons demonstriert diese Möglichkeit durch ein Online-Tool, das die passende Bezeichnung acropalypse trägt. Die Bilder im unten eingebetteten Tweet zeigen, wie dieser Softwarefehler dazu genutzt werden kann, beispielsweise persönliche finanzielle Daten auf Screenshots einer Banking-App sichtbar zu machen. Das funktioniert, da Googles Markup-Tool die Änderungen zusätzlich zum Originalbild speichert, statt das alte Bild durch die bearbeitete Version zu ersetzen.
Der Entwickler schreibt in einer FAQ, dass einige Webseiten, inklusive Twitter, die Bilder so verarbeiten, dass sie nicht mehr auf den Originalzustand zurückgesetzt werden können. Discord hat diesen Exploit aber erst am 17. Januar gepatcht. Nachdem die Sicherheitslücke im Januar gemeldet wurde, hat Google den Fehler mit dem März-Update behoben, vorerst aber nur beim Pixel 4a, beim Pixel 5a, beim Pixel 7 (ca. 570 Euro auf Amazon) und beim Pixel 7 Pro, die übrigen Pixel-Smartphones sollten den Patch in Kürze erhalten. Screenshots, die über die vergangenen Jahre geteilt wurden, bleiben allerdings angreifbar.
Introducing acropalypse: a serious privacy vulnerability in the Google Pixel's inbuilt screenshot editing tool, Markup, enabling partial recovery of the original, unedited image data of a cropped and/or redacted screenshot. Huge thanks to @David3141593 for his help throughout! pic.twitter.com/BXNQomnHbr
— Simon Aarons (@ItsSimonTime) March 17, 2023