Es wurde eine Sicherheitslücke entdeckt, die Google Pixel-Nutzer betrifft. Diese Sicherheitslücke könnte die sensibelsten Daten der Nutzer preisgegeben haben und dies in bestimmten Fällen auch weiterhin tun.
Obwohl Google mit dem März-Update einen Fix für CVE-2023-21036 veröffentlicht hat, konnten Hacker durch die hochriskante Sicherheitslücke viele Bildbearbeitungen auf Pixel-Geräten rückgängig machen.
Sie betrifft insbesondere die Markup-Funktion, mit der Nutzer Fotos bearbeiten können, um z. B. sensible Informationen aus Bildern wie Bankkarten zu entfernen, indem sie entweder bestimmte Aspekte ausschneiden oder visuelle Ebenen über Elemente legen.
Schwachstelle bei Pixel Markup
Laut den Reverse-Ingenieuren Simon Aarons und David Buchanan, die das Problem entdeckt haben, kann ein böswilliger Akteur in einigen Fällen ein bearbeitetes - und scheinbar sicheres - Bild umkehren und so sensible Informationen preisgeben, was als "Akropalypse" bezeichnet wird.
Während viele von uns es vorziehen, Bilder über Kanäle zu teilen, bei denen sie einige oder alle Metadaten für sich behalten, wie z. B. Discord, hat sich dies als weniger sicher erwiesen und die Sicherheitslücke offenbart. Es ist erwähnenswert, dass Discord das Problem Mitte Januar 2023 behoben hat. Im Gegensatz dazu verarbeiten Plattformen wie Twitter Bilder auf eine andere Art und Weise, so dass Änderungen nicht mehr rückgängig gemacht werden können.
Die Schwachstelle stammt von Android 9 Pie, das mit der Pixel 3-Familie entwickelt wurde. Das bedeutet, dass auch die Modelle 4, 5, 6 und zuletzt 7 betroffen sein sollen.
Aufgrund des Alters einiger Geräte erhalten derzeit nur das Pixel 4a und neuere Modelle Sicherheitsupdates, so dass einige ältere Modelle, darunter das 4 und alle davor, keinen offiziellen Support genießen und somit weiterhin anfällig sind.
Außerdem sind bearbeitete Screenshots, die vor der Veröffentlichung der Updates verschickt wurden, weiterhin gefährdet und sollten daher nach Möglichkeit entfernt werden.
TechRadar hat Google gebeten zu bestätigen, ob es noch Geräte gibt, bei denen die Sicherheitslücke weiterhin besteht, und wenn ja, ob sie gepatcht werden.
