• IT-Karriere:
  • Services:

Alphakanal: Gimp verrät Geheimnisse in Bildern

Wer in Gimp in einem Bild mit Transparenz Bildbereiche löscht, der macht sie nur durchsichtig. Dieses wenig intuitive Verhalten kann dazu führen, dass Nutzer ungewollt Geheimnisse preisgeben.

Artikel veröffentlicht am ,
Wenn man mit Gimp Daten l�scht, sind diese nicht wirklich weg. Sie k�nnen sich weiterhin im Alphakanal verbergen.
Wenn man mit Gimp Daten l�scht, sind diese nicht wirklich weg. Sie k�nnen sich weiterhin im Alphakanal verbergen. (Bild: GIMP Logo / Wikimedia Commons/Logo GPL, Hintergrund Public Domain)

Ein überraschendes Verhalten beim Editieren von Bildern im Grafikprogramm Gimp kann dazu führen, dass Nutzer scheinbar gelöschte Informationen preisgeben. Wenn in einem Bild ein Alphakanal aktiviert ist, führt das Löschen eines Bildbereichs nicht dazu, dass die Pixel dort tatsächlich gelöscht werden. Vielmehr werden diese nur als komplett transparent markiert. Ein exportiertes PNG-Bild kann daher unerwünscht noch entfernte Informationen enthalten.

Stellenmarkt
  1. Landeshauptstadt Stuttgart, Stuttgart
  2. Allianz Deutschland AG, München Unterföhring

Bei transparenten PNG-Bildern werden für jedes Pixel vier Farbwerte abgespeichert: die üblichen Rot-, Grün- und Blauwerte sowie ein vierter Wert für die Transparenz, der sogenannte Alphakanal. Dadurch ist es möglich, dass ein Bildbereich Farbdaten enthält, die unsichtbar sind, weil dort das Bild durch den Alphakanal komplett durchsichtig ist.

Private Daten können in Social-Media-Posts landen

Problematisch wird dies, wenn ein Nutzer Gimp nutzt, um beispielsweise aus einem Screenshot private Daten zu entfernen. Das kann etwa eine Adresse oder eine Kreditkartennummer sein, die ein Nutzer entfernen möchte, bevor ein Bild in einem Social-Media-Post veröffentlicht wird. Die scheinbar gelöschten Daten lassen sich trivial wieder rekonstruieren, indem man den Alphakanal aus dem Bild entfernt.

Auf dieses Verhalten von Gimp hat der IT-Sicherheitsexperte Will Dormann von der Organisation CERT/CC hingewiesen. Die Gimp-Entwickler sehen allerdings in dem Verhalten kein Problem. Ein Fehlerreport, den Dormann erstellt hat, wurde geschlossen. Die Gimp-Entwickler erklärten, dass dieses Verhalten so gedacht sei.

Es gibt verschiedene Möglichkeiten, dieses Problem zu vermeiden. Eine relativ zuverlässige Methode ist es, Daten nicht zu löschen, sondern etwa mit einem schwarzen Balken zu übermalen. Beim Export in reine Pixel-Formate sollte damit sichergestellt sein dass die Daten überschrieben werden. Bei Formaten, die mehrere Ebenen unterstützen, etwa dem Gimp-eigenen XCF-Format, muss man jedoch auch hier vorsichtig sein.

Doch das größte Problem dürfte sein, dass viele Anwender sich über diese Problematik überhaupt keine Gedanken machen. Dass ein Bildbearbeitungsprogramm Daten mit einer Löschfunktion nicht löscht, ist zumindest sehr überraschend.

Gimp ist von den gängigen Grafikbearbeitungsprogrammen das einzige, das dieses Verhalten zeigt. Dormann hat verschiedene andere Programme getestet, darunter Photoshop, Paint.net und Krita. In all diesen Programmen führt ein Löschen tatsächlich dazu, dass die darunterliegenden Pixel entfernt werden.

Shellskript identifiziert möglicherweise problematische Bilder

Wer den Verdacht hat, dass er selbst von dem Problem betroffen ist, kann unter Linux-Systemen ein von uns bereitgestelltes Shellskript nutzen. Das Skript extrahiert aus Bildern den Alphakanal und prüft, ob dieser transparente Bereiche enthält. Wenn das der Fall ist, wird eine Warnung ausgegeben und das Bild neben einer Version ohne Alphakanal in einem temporären Verzeichnis bereitgestellt.

Diese Bilder kann man dann manuell prüfen. Das Skript kann beispielsweise genutzt werden, um einen Datenexport von Plattformen wie Twitter auf möglicherweise sensible Bilder zu prüfen.

Nachtrag vom 14. Februar 2020, 11:06 Uhr

Die Entwickler von GIMP haben in ihrem Bugtracker ein Statement veröffentlicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 84,90€ (Bestpreis mit Alternate)
  2. (u. a. Transport Fever für 7,99€, Regalia: Of Men and Monarchs für 5,99€, We. The Revolution...
  3. (u. a. Samsung GQ75Q950RGT 8K-UHD, 189 cm (75 Zoll) für 3.938,08€, XIAOMI MI SCOOTER PRO 2 E...
  4. (u. a. Nerf Guns, Lioncast-Produkte, Zwilling-Messerblöcke, Hisense-Fernseher, Gaming-Chairs...

frnk 01. Mär 2020

Je nachdem, was das für ein Dokument ist, das man schwärzt, ist es meist wichtig, dass...

quineloe 24. Feb 2020

Warum dann nicht einen hotkey dafür verwenden, der in praktisch jedem anderen Programm...

heikom36 21. Feb 2020

Dein ganzer Text hat rein gar nichts mit dem Artikel zu tun.

janoP 19. Feb 2020

Wir reden hier aber von GIMP. Und dich will niemand bewusst missverstehen, du hast nur...

janoP 18. Feb 2020

Ein Kommentar auf GitLab beschreibt richtigerweise, dass ein Ändern der Default...


Folgen Sie uns
       


Samsung Galaxy S20 Ultra - Test

Das Galaxy S20 Ultra ist Samsungs Topmodell der Galaxy-S20-Reihe. Der südkoreanische Hersteller verbaut erstmals seinen 108-Megapixel-Kamerasensor - im Test haben wir uns aber mehr davon versprochen.

Samsung Galaxy S20 Ultra - Test Video aufrufen
Coronavirus: Die weltweite 5G-Verschwörung erklärt
Coronavirus
Die weltweite 5G-Verschwörung erklärt

5G erzeugt weder Corona noch ist es Teil einer Verschwörung. Doch Bedenken zu neuen Frequenzbereichen einfach zu ignorieren, ist zu einfach.
Eine Analyse von Achim Sawall

  1. Telekom, Vodafone Wenn LTE schneller als 5G ist
  2. Telekom Große Nachfrage nach Campusnetzen bei der Industrie
  3. Redbox Vodafone stellt komplettes 5G-Netz in einer Box vor

Zukunft in Serien: Realistischer, als uns lieb sein kann
Zukunft in Serien
Realistischer, als uns lieb sein kann

Ältere Science-Fiction-Produktionen haben oft eher unrealistische Szenarien entworfen. Die guten neueren, wie Black Mirror, Years and Years und Upload nehmen hingegen Technik aus dem Jetzt und denken sie weiter.
Von Peter Osteried

  1. Power-to-Liquid Sunfire plant E-Fuels-Produktion in Norwegen
  2. Gebäudetechnik Thyssen-Krupp baut neuen Aufzugsturm
  3. Airbus Elektronische Nasen sollen Sprengstoff aufspüren

Staupilot: Wie deutsche Hersteller beim autonomen Fahren rumeiern
Staupilot
Wie deutsche Hersteller beim autonomen Fahren rumeiern

Vom kommenden Jahr an dürfen erstmals selbstfahrende Autos in Deutschland unterwegs sein. Doch kein Hersteller verspricht ein konkretes Produkt.
Eine Analyse von Friedhelm Greis

  1. Hochautomatisiertes Fahren UN beschließt Vorgaben für Staupiloten
  2. Auto BMW und Daimler beenden Kooperation zum autonomen Fahren
  3. Autonomes Fahren Entwickler baut selbstfahrendes Auto für GTA V

    •  /