Alphakanal: Gimp verrät Geheimnisse in Bildern

Wer in Gimp in einem Bild mit Transparenz Bildbereiche löscht, der macht sie nur durchsichtig. Dieses wenig intuitive Verhalten kann dazu führen, dass Nutzer ungewollt Geheimnisse preisgeben.

Artikel veröffentlicht am ,
Wenn man mit Gimp Daten l�scht, sind diese nicht wirklich weg. Sie k�nnen sich weiterhin im Alphakanal verbergen.
Wenn man mit Gimp Daten l�scht, sind diese nicht wirklich weg. Sie k�nnen sich weiterhin im Alphakanal verbergen. (Bild: GIMP Logo / Wikimedia Commons/Logo GPL, Hintergrund Public Domain)

Ein überraschendes Verhalten beim Editieren von Bildern im Grafikprogramm Gimp kann dazu führen, dass Nutzer scheinbar gelöschte Informationen preisgeben. Wenn in einem Bild ein Alphakanal aktiviert ist, führt das Löschen eines Bildbereichs nicht dazu, dass die Pixel dort tatsächlich gelöscht werden. Vielmehr werden diese nur als komplett transparent markiert. Ein exportiertes PNG-Bild kann daher unerwünscht noch entfernte Informationen enthalten.

Stellenmarkt
  1. Product Owner (m/w/d)
    Bike Mobility Services GmbH, Cloppenburg
  2. System Engineer / System Developer (m/f/d) ADAS data measurement / replay and SiL/HiL solutions
    Elektrobit Automotive GmbH, Braunschweig, Erlangen
Detailsuche

Bei transparenten PNG-Bildern werden für jedes Pixel vier Farbwerte abgespeichert: die üblichen Rot-, Grün- und Blauwerte sowie ein vierter Wert für die Transparenz, der sogenannte Alphakanal. Dadurch ist es möglich, dass ein Bildbereich Farbdaten enthält, die unsichtbar sind, weil dort das Bild durch den Alphakanal komplett durchsichtig ist.

Private Daten können in Social-Media-Posts landen

Problematisch wird dies, wenn ein Nutzer Gimp nutzt, um beispielsweise aus einem Screenshot private Daten zu entfernen. Das kann etwa eine Adresse oder eine Kreditkartennummer sein, die ein Nutzer entfernen möchte, bevor ein Bild in einem Social-Media-Post veröffentlicht wird. Die scheinbar gelöschten Daten lassen sich trivial wieder rekonstruieren, indem man den Alphakanal aus dem Bild entfernt.

Auf dieses Verhalten von Gimp hat der IT-Sicherheitsexperte Will Dormann von der Organisation CERT/CC hingewiesen. Die Gimp-Entwickler sehen allerdings in dem Verhalten kein Problem. Ein Fehlerreport, den Dormann erstellt hat, wurde geschlossen. Die Gimp-Entwickler erklärten, dass dieses Verhalten so gedacht sei.

Golem Karrierewelt
  1. Kubernetes Dive-in-Workshop: virtueller Drei-Tage-Workshop
    11.-13.10.2022, Virtuell
  2. Container Technologie: Docker und Kubernetes - Theorie und Praxis: virtueller Drei-Tage-Workshop
    27.-29.09.2022, virtuell
Weitere IT-Trainings

Es gibt verschiedene Möglichkeiten, dieses Problem zu vermeiden. Eine relativ zuverlässige Methode ist es, Daten nicht zu löschen, sondern etwa mit einem schwarzen Balken zu übermalen. Beim Export in reine Pixel-Formate sollte damit sichergestellt sein dass die Daten überschrieben werden. Bei Formaten, die mehrere Ebenen unterstützen, etwa dem Gimp-eigenen XCF-Format, muss man jedoch auch hier vorsichtig sein.

Doch das größte Problem dürfte sein, dass viele Anwender sich über diese Problematik überhaupt keine Gedanken machen. Dass ein Bildbearbeitungsprogramm Daten mit einer Löschfunktion nicht löscht, ist zumindest sehr überraschend.

Gimp ist von den gängigen Grafikbearbeitungsprogrammen das einzige, das dieses Verhalten zeigt. Dormann hat verschiedene andere Programme getestet, darunter Photoshop, Paint.net und Krita. In all diesen Programmen führt ein Löschen tatsächlich dazu, dass die darunterliegenden Pixel entfernt werden.

Shellskript identifiziert möglicherweise problematische Bilder

Wer den Verdacht hat, dass er selbst von dem Problem betroffen ist, kann unter Linux-Systemen ein von uns bereitgestelltes Shellskript nutzen. Das Skript extrahiert aus Bildern den Alphakanal und prüft, ob dieser transparente Bereiche enthält. Wenn das der Fall ist, wird eine Warnung ausgegeben und das Bild neben einer Version ohne Alphakanal in einem temporären Verzeichnis bereitgestellt.

Diese Bilder kann man dann manuell prüfen. Das Skript kann beispielsweise genutzt werden, um einen Datenexport von Plattformen wie Twitter auf möglicherweise sensible Bilder zu prüfen.

Nachtrag vom 14. Februar 2020, 11:06 Uhr

Die Entwickler von GIMP haben in ihrem Bugtracker ein Statement veröffentlicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anonymisiert 01. Mär 2020

Je nachdem, was das für ein Dokument ist, das man schwärzt, ist es meist wichtig, dass...

quineloe 24. Feb 2020

Warum dann nicht einen hotkey dafür verwenden, der in praktisch jedem anderen Programm...

heikom36 21. Feb 2020

Dein ganzer Text hat rein gar nichts mit dem Artikel zu tun.

janoP 19. Feb 2020

Wir reden hier aber von GIMP. Und dich will niemand bewusst missverstehen, du hast nur...



Aktuell auf der Startseite von Golem.de
Eichrechtsverstoß
Tesla betreibt gut 1.800 Supercharger in Deutschland illegal

Teslas Supercharger in Deutschland sind wie viele andere Ladesäulen nicht gesetzeskonform. Der Staat lässt die Anbieter gewähren.

Eichrechtsverstoß: Tesla betreibt gut 1.800 Supercharger in Deutschland illegal
Artikel
  1. Bitblaze Titan samt Baikal-M: Russischer Laptop mit russischem Chip ist fast fertig
    Bitblaze Titan samt Baikal-M
    Russischer Laptop mit russischem Chip ist fast fertig

    Ein 15-Zöller mit ARM-Prozessor: Der Bitblaze Titan soll sich für Office und Youtube eignen, die Akkulaufzeit aber ist fast schon miserabel.

  2. Quartalsbericht: Huawei steigert den Umsatz trotz US-Sanktionen wieder
    Quartalsbericht
    Huawei steigert den Umsatz trotz US-Sanktionen wieder

    Besonders im Bereich Cloud erzielt Huawei wieder Zuwächse.

  3. Maschinelles Lernen und Autounfälle: Es muss nicht immer Deep Learning sein
    Maschinelles Lernen und Autounfälle
    Es muss nicht immer Deep Learning sein

    Nicht nur das autonome Fahren, sondern auch die Fahrzeugsicherheit könnte von KI profitieren - nur ist Deep Learning nicht unbedingt der richtige Ansatz dafür.
    Von Andreas Meier

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Günstig wie nie: Palit RTX 3080 Ti 1.099€, Samsung SSD 2TB m. Kühlkörper (PS5) 219,99€, Samsung Neo QLED TV (2022) 50" 1.139€, AVM Fritz-Box • Asus: Bis 840€ Cashback • MindStar (MSI RTX 3090 Ti 1.299€, AMD Ryzen 7 5800X 288€) • Microsoft Controller (Xbox&PC) 48,99€ [Werbung]
    •  /