Google hat mit dem März-Patchday eine skurrile Sicherheitslücke in seinen Pixel-Smartphones geschlossen. Screenshots, die vor der Installation der jüngsten Updates angefertigt und mit dem bordeigenen Markup-Tool bearbeitet wurden, lassen sich unter Umständen zumindest teilweise in den unbearbeiteten Zustand zurückversetzen.
Entdeckt wurde die auch aCropalypse bezeichnete Schwachstelle im Januar vom Sicherheitsforscher Simon Aarons, wie 9to5Google berichtet. Zudem entwickelte David Buchanan einen ersten Exploit für die Anfälligkeit mit der Kennung CVE-2023-21036. Im März-Security-Bulletin gibt Google an, dass von der Lücke ein hohes Sicherheitsrisiko ausgeht.
An einem Beispiel zeigen die beiden Forscher, welche gravierenden Folgen der Fehler im Markup-Tool haben kann. Wurde beispielsweise ein Screenshot aus einer Banking-App zugeschnitten und zudem Details wie beispielsweise eine Kreditkartennummer geschwärzt, ist es möglich, den Zuschnitt und auch das Schwärzen rückgängig zu machen. Die Wiederherstellung ist im Nachhinein auch bei Screenshots möglich, die beispielsweise über einen Messenger verschickt wurden. Betroffen sind zudem jegliche Screenshots, die mit einem Pixel-Smartphone ab Modell Pixel 4 vor Installation der März-Updates erstellt wurden.
Über eine Webanwendung können Nutzer Screenshots im Browser hochladen und nach Auswahl des Pixel-Modells, welches das Bildschirmfoto gemacht hat, wiederhergestellt werden. Allerdings gibt es gewisse Einschränkungen.
Der Bug beruht auf dem Umstand, dass das Markup-Tool den bearbeiteten Screenshot einfach über das unbearbeitete Bild schreibt, ohne vorher die Daten des unbearbeiteten Bilds zu löschen. Hat der bearbeitete Screenshot eine kleinere Dateigröße als das Ausgangsbild, bleibt ein Teil der unbearbeiteten Daten in der bearbeiteten Datei erhalten. Allerdings sind diese Daten “fehlerhaft” und werden beim Öffnen des Bilds nicht angezeigt. Die von den Forschern entwickelte Webanwendung ist in der Lage, Teile der nicht überschriebenen Daten der Screenshot-Datei wiederherzustellen. “20 Prozent des Bilds wurden zerstört, aber der Rest des Bilds – inklusive der Kreditkartennummer – ist vollständig wiederherstellbar”, kommentieren die Forscher dem Bericht zufolge das von ihnen gewählte Beispiel.
Bei Versuchen von Silicon.de mit einem Pixel 6a und Sicherheitspatch-Ebene 5. Februar 2023 zeigte sich, dass beispielsweise das reine Schwärzen von Teilen eines Screenshots beispielsweise nicht dazu führt, dass das bearbeitete Bild kleiner ist als das Ausgangsbild. Wird nur ein kleiner Teil des Ausgangsbilds abgeschnitten und zusätzlich größere Bereiche des Screenshots geschwärzt, wird die Dateigröße ebenfalls nur unzureichend reduziert – die Web-Anwendung aCropalypse meldete jeweils, dass keine Daten zur Wiederherstellung vorliegen.
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.
IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.
IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…