iphone-ticker.de — Alles zum iPhone. Seit 2007. 38 365 Artikel

Markup-Schwachstelle gewährt tiefe Einblicke

a’crop’alypse: Bildschirmfotos des Google Pixel verraten alles

Artikel auf Mastodon teilen.
37 Kommentare 37

Wer vielleicht erst kürzlich ins iPhone-Lager gewechselt ist und dafür tief in die Tasche greifen musste, der freut sich sicher über eine kurze Bestätigung, die richtige Entscheidung getroffen zu haben. Diese kommt aktuell von Simon Aarons, der eine schwerwiegende Datenschutzlücke bei den Pixel-Geräten des Suchmaschinen-Riesen Google ausgemacht hat.

Fast alle Pixel-Genrationen betroffen

Aarons hat der Problem den Spitznamen a’crop’alypse gegeben und fasst die Auswirkungen der Schwachstelle auf seinem Twitter-Konto zusammen. Die grob verkürzte Variante: Anwender die Bildschirmfotos auf ihrem Pixel-Smartphone mit der von Google bereitgestellen Markup-App beschnitten oder auch geschwärzt haben, ehe Kontoauszüge, Fotoinhalte oder Nachrichtenverläufe weitergereicht wurden, müssen damit rechnen dass die Empfänger der Screenshots alle Inhalte wiederherstellen können – auch eigentlich entfernte und übermalte Bildbereiche.

Acropalypse

Web-Demo macht versteckte Inhalte sichtbar

Von dem Fehler, der Bildbereiche wieder sichtbar macht, die zuvor eigentlich verworfen werden sollten, sind alle Pixel-Smartphones vom Pixel 3 bis zum Pixel 7 Pro betroffen. Eine entsprechende Online-Demo zum Wiederherstellen entsprechender Bildschirmfotos ist auf acropalypse.app verfügbar und erlaubt es nun von Pixel-Besitzern erhalten Screenshots der vergangenen Jahre auf versteckte Inhalte hin zu prüfen und diese wieder Sichtbar zu machen.

Screenshot

Der Screenshot (links) zeigte nur Makronährstoffe, a’crop’alypse stellte die Frühstücksdaten (rechts) wieder her

Wer sich für die Hintergründe der datenschutztechnisch bedenklichen Schwachstelle interessiert, sollte den Blogeintrag Exploiting aCropalypse von David Buchanan studieren.

Herunter gebrochen auf das eigentliche Problem muss man sich nur folgendes merken: Werden Screenshots auf dem Pixel zugeschnitten und gespeichert, wir die vorhandene Datei von der bearbeiteten Datei überschrieben. Dabei werden größere Reste der Originaldatei jedoch weder angetastet noch entfernt.

21. Mrz 2023 um 11:42 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    37 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Ist doch nichts ungewöhnliches. Wer sich mit Android wirklich beschäftigt weiß was es für Sicherheitslücken gibt und nimmt das Bewusst in Kauf. Abgesehen von den Datenstaubsauger.

      • Fakt?
        Android ist unsicher und fast jede App spioniert einen aus.
        Gerne mal Kuketz Blog besuchen und belesen..

      • Android ist nicht unsicher, das zugrundeliegende System ist mit seiner nutzerverwaltung pro App von Grund auf erst mal sicherer und flexibler aufgestellt als iOS mit seinem nachträglich eingebauten sandkastensystem.

      • Dann erklär mir mal, warum es bei Android so viele Viren gibt, und bei iOS nicht.
        Mag vllt. an der grundsätzlichen Sicherheit des Systems liegen?
        Klar gibt es sicherere Versionen, diese hat aber kaum jemand installiert, also ist erstmal grundsätzlich das System Android zu hinterfragen.

      • Nachträglich eingebauten Sandkastensystem? Dick weißt du überhaupt was du da schreibst? Warum meldest du dich hier wenn du offenkundig keine Ahnung hast.

    • Warum sollte Android unsicherer sein als iOS?
      Millionen Anwender auf beiden Seiten und kein Aufschrei wegen gehackter Bankkonten oder gestohlenen Identitäten.
      Okay, hier und da mal ein Problem mit einer App oder mit einem Gerät, aber das würde ich behaupten, gibt es auf beiden Seiten.
      Große, global agierende Firmen setzen teilweise auf Android und teilweise auf iOS. Andere akzeptieren beides parallel.
      Nicht zuletzt: Für die Presse wäre das doch ein gefundenes Fressen, wenn Sie das eine oder andere System bashen könnten.

      Mein Fazit: nicht aufs Marketing reinfallen und mal nachdenken.

      • Also das alles bedarf einer differenzierten Betrachtung:

        Bugs in einzelnen Apps (egal ob vom Hersteller oder 3rd Party) wird es immer geben, egal ob auf Android oder iOS. Das sind schlicht menschliche Fehler der Entwickler. So auch in diesem Fall. Das hat nichts mit dem OS zu tun.

        Was einen großen Unterschied macht in der Frage, welches OS sicherer ist: Unter iOS läuft jede App in ihrer eigenen Sandbox und kann da auch nicht raus. Darum gibt es zum Beispiel auch keinen Virenscanner unter iOS, weil keine App, also auch kein Virenscanner, andere Apps oder gar das Betriebssystem scannen kann, sondern nur die eigene Sandbox. Bei Android ist das nicht so. Das macht vieles aus Benutzersicht sehr viel bequemer (kein umständliches Teilen-Menü), aber eben das Gesamtsystem auch unsicher.

        Beide Themen haben wiederum nichts mit dem Thema Tracking durch einzelne Apps und Tracking durch den jeweiligen Hersteller des Betriebssystems zu tun. Hier unterscheidet sich iOS (das auch trackt) von Android im Wesentlichen dadurch, dass Apple nicht primär (leider aber zunehmend) mit der Auswertung von Daten zum Zwecke individualisierter und damit teuer verkaufbarer Werbung sein Geld verdient, sondern mit dem Verkauf teurer Hardware. Aber ganz so klar ist die Trennung nicht mehr, wie das zurecht genannte Beispiel des Trackings im AppStore durch Apple zeigt.

      • Naja man muss halt sagen: bei android hat jede App einen eigenen Benutzer mit eigenen Befugnissen (deshalb gibt es seit der ersten Version bei Google abfragen was welche App darf). Bei iOS gibts zwar das sandkastenprinzip, lass da aber mal einen bug geschehen und eine App kann alles bei iOS. Das war damals ja auch der Grund warum jailbreaks so einfach waren.

      • Das ist auch wieder falsch Dick. Warum postest du so ein Blödsinn? Wo ist denn deine Motivation? Google zu schützen? Den Datenstaubsauger zu Ehren und Dienen?

    • Und wieso genau bekommt man für Android Zero Days mehr geld als für iOS Zero days?
      Würde mit deiner Aussage null sinn machen…
      Zudem macht android das ungefragte, schnelle einspielen/installieren von Sicherheitspatches schon viel länger als iOS. Bei iOS musste lang immer der Kunde manuel jedes Update akzeptieren und auch wenn es eine mega kritische Sicherheitslücke war.

      Sicherheit und privacy sind nicht das gleiche und beides ist bei apple nicht um Welten besser als bei Android. Sicherheit ist vermutlich bei android sogar etwas besser.
      In sachen privacy ist Apple ja erst gerade kürzlich aufgeflogen, wie sie ihre kunden im appstore tracken, auch wenn diese dort optOut genutzt haben.
      Zudem gehen internet anfragen zu apple direkt auch wenn man bei einem iOS gerät ein VPN eingerichtet hat

      • Man bekommt für Android Zero Days mehr Geld, weil die folgenreicher sind als bei iOS.
        Es ist fast unmöglich eine persistente Malware in iOS zu platzieren, bei Android Geräten hingegen überlebt eine Malare jeden Neustart und sogar Updates und sie kann, ohne eine Spur zu hinterlassen, auch komplett wieder entfernt werden. Der User hat keine Chance diese zu finden und nachzuweisen, dass er tatsächlich infiziert war.

        Bestes Beispiel ist Pegasus. Während man bei iOS Geräten nicht nur eine frühere Infektion nachweisen konnte, man konnte auch nachvollziehen, wie diese erfolgte. Bei Android tappen die Sicherheitsforscher immer noch im Dunkeln. Sie wissen nur, dass die NSO Group auch in der Lage ist Android praktisch alle Gerate zu infizieren – aber niemand weiß wie und bei wem.

      • Das ist Unsinn, lass eine App bei iOS aus dem Sandkasten raus und du hast ein enormes Problem. Das kriegst du nicht mal bei android hin. Google ist einfach nicht von seiner Allmacht überzeugt und weiß wie wichtig ein sicheres System ist. Da bezahlt man lieber mehr als sicherheitslücken an israelische Firmen zu verlieren ;)

      • Aha. Eine App kann mal aus den Sandkasten hinaus. Ok. Gut das es dafür keine anderen Mechanismen gibt die ständig die Prozesse überprüfen. Dick du hast original 0 Ahnung und versuchst mit deinen kleinen Geist die Welt zu erklären.

      • Aber einfach total treffend. Du hast dich ja öfters als Google Fanboy hier geoutet. Alles richtig gemacht.

  • Hats doch bei Apple auch schon so ähnlich gegeben soweit es ich mich erinnere. Wenn man Inhalte Schwärzt, waren (sind?) sie wiederherstellbar. Darum mach ich nachdem ich was geschwärzt oder gecropt habe auch immer nochmals einen Screenshot, so kann nix passieren. Wie man sieht ists offenbar nicht nur eine Paranoia von mir ;-)

    • Bei Apple kannst aber nur du es wiederherstellen und auch nur auf deinen icloud Geräten.

      • Ja, wenn du die Datei exportierst oder sendest, dann bekommt der Empfänger eine Bilddatei ohne vorherige Informationen. Es gab mal ein Problem das die Stifte zum schwärzen teilweise Transparenzeffekte hatten um wie ein echter Stift auszusehen, da konnte man die Daten noch drunter etwas sehen, das ist aber behoben worden soweit ich weiß. Kein Vergleich zu dem Google Pixel Problem jetzt

    • bei iOS ist das Werkzeug zum übermalen das Problem. Die Brush verdeckt nicht zu 100%, daher kann man durch Farb-/Kontrastmanimulationen gewisse Dinge wieder sichtbar machen. Dagegen hilft auch ein Screenshot nicht wirklich

      Beim aktuellen Pixel-Problem könntest du es mit einem Screenshot fixen, da die Informationen in der ursprünglichen Datei und nicht in den sichtbaren Pixeln vorhanden sind.

    • Genau das, letztens erst bei einem Kumpel angewendet. Der hat auch nicht schlecht gestaunt. Daher immer: Screenshot machen von der Bearbeitung. Alles andere ist nutzlos, die Daten sind weiterhin in see Bilddatei versteckt und auslesbar.

  • Dass man kein iPhone haben möchte, kann ich noch nachvollziehen, wie man sich aber ein Pixel antun kann, versteh ich absolut nicht!

  • Wer vielleicht erst kürzlich ins iPhone-Lager gewechselt ist und dafür tief in die Tasche greifen musste, hat eventuell mit seinen Pixel-Handies jahrelang geschwärzte Nachrichten verschickt und freut sich gerade überhaupt nicht.

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 38365 Artikel in den vergangenen 6244 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven