Alphakanal: Gimp verrät Geheimnisse in Bildern

Wer in Gimp in einem Bild mit Transparenz Bildbereiche löscht, der macht sie nur durchsichtig. Dieses wenig intuitive Verhalten kann dazu führen, dass Nutzer ungewollt Geheimnisse preisgeben.

Artikel veröffentlicht am ,
Wenn man mit Gimp Daten l�scht, sind diese nicht wirklich weg. Sie k�nnen sich weiterhin im Alphakanal verbergen.
Wenn man mit Gimp Daten l�scht, sind diese nicht wirklich weg. Sie k�nnen sich weiterhin im Alphakanal verbergen. (Bild: GIMP Logo / Wikimedia Commons/Logo GPL, Hintergrund Public Domain)

Ein überraschendes Verhalten beim Editieren von Bildern im Grafikprogramm Gimp kann dazu führen, dass Nutzer scheinbar gelöschte Informationen preisgeben. Wenn in einem Bild ein Alphakanal aktiviert ist, führt das Löschen eines Bildbereichs nicht dazu, dass die Pixel dort tatsächlich gelöscht werden. Vielmehr werden diese nur als komplett transparent markiert. Ein exportiertes PNG-Bild kann daher unerwünscht noch entfernte Informationen enthalten.

Stellenmarkt
  1. Requirements Engineer (w/m/d) Softwareentwicklung
    SSI SCHÄFER IT Solutions GmbH, Dortmund, Giebelstadt
  2. Trainer (m/w/d) für Software-Qualitätssicherung
    imbus AG, Möhrendorf bei Erlangen, bundes­weiter Einsatz
Detailsuche

Bei transparenten PNG-Bildern werden für jedes Pixel vier Farbwerte abgespeichert: die üblichen Rot-, Grün- und Blauwerte sowie ein vierter Wert für die Transparenz, der sogenannte Alphakanal. Dadurch ist es möglich, dass ein Bildbereich Farbdaten enthält, die unsichtbar sind, weil dort das Bild durch den Alphakanal komplett durchsichtig ist.

Private Daten können in Social-Media-Posts landen

Problematisch wird dies, wenn ein Nutzer Gimp nutzt, um beispielsweise aus einem Screenshot private Daten zu entfernen. Das kann etwa eine Adresse oder eine Kreditkartennummer sein, die ein Nutzer entfernen möchte, bevor ein Bild in einem Social-Media-Post veröffentlicht wird. Die scheinbar gelöschten Daten lassen sich trivial wieder rekonstruieren, indem man den Alphakanal aus dem Bild entfernt.

Auf dieses Verhalten von Gimp hat der IT-Sicherheitsexperte Will Dormann von der Organisation CERT/CC hingewiesen. Die Gimp-Entwickler sehen allerdings in dem Verhalten kein Problem. Ein Fehlerreport, den Dormann erstellt hat, wurde geschlossen. Die Gimp-Entwickler erklärten, dass dieses Verhalten so gedacht sei.

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, online
  2. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  3. CEH Certified Ethical Hacker v11
    8.-12. November 2021, online
Weitere IT-Trainings

Es gibt verschiedene Möglichkeiten, dieses Problem zu vermeiden. Eine relativ zuverlässige Methode ist es, Daten nicht zu löschen, sondern etwa mit einem schwarzen Balken zu übermalen. Beim Export in reine Pixel-Formate sollte damit sichergestellt sein dass die Daten überschrieben werden. Bei Formaten, die mehrere Ebenen unterstützen, etwa dem Gimp-eigenen XCF-Format, muss man jedoch auch hier vorsichtig sein.

Doch das größte Problem dürfte sein, dass viele Anwender sich über diese Problematik überhaupt keine Gedanken machen. Dass ein Bildbearbeitungsprogramm Daten mit einer Löschfunktion nicht löscht, ist zumindest sehr überraschend.

Gimp ist von den gängigen Grafikbearbeitungsprogrammen das einzige, das dieses Verhalten zeigt. Dormann hat verschiedene andere Programme getestet, darunter Photoshop, Paint.net und Krita. In all diesen Programmen führt ein Löschen tatsächlich dazu, dass die darunterliegenden Pixel entfernt werden.

Shellskript identifiziert möglicherweise problematische Bilder

Wer den Verdacht hat, dass er selbst von dem Problem betroffen ist, kann unter Linux-Systemen ein von uns bereitgestelltes Shellskript nutzen. Das Skript extrahiert aus Bildern den Alphakanal und prüft, ob dieser transparente Bereiche enthält. Wenn das der Fall ist, wird eine Warnung ausgegeben und das Bild neben einer Version ohne Alphakanal in einem temporären Verzeichnis bereitgestellt.

Diese Bilder kann man dann manuell prüfen. Das Skript kann beispielsweise genutzt werden, um einen Datenexport von Plattformen wie Twitter auf möglicherweise sensible Bilder zu prüfen.

Nachtrag vom 14. Februar 2020, 11:06 Uhr

Die Entwickler von GIMP haben in ihrem Bugtracker ein Statement veröffentlicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anonymisiert 01. Mär 2020

Je nachdem, was das für ein Dokument ist, das man schwärzt, ist es meist wichtig, dass...

quineloe 24. Feb 2020

Warum dann nicht einen hotkey dafür verwenden, der in praktisch jedem anderen Programm...

heikom36 21. Feb 2020

Dein ganzer Text hat rein gar nichts mit dem Artikel zu tun.

janoP 19. Feb 2020

Wir reden hier aber von GIMP. Und dich will niemand bewusst missverstehen, du hast nur...

janoP 18. Feb 2020

Ein Kommentar auf GitLab beschreibt richtigerweise, dass ein Ändern der Default...



Aktuell auf der Startseite von Golem.de
Waffensystem Spur
Menschen töten, so einfach wie Atmen

Soldaten müssen bald nicht mehr um ihr Leben fürchten. Wozu auch, wenn sie aus sicherer Entfernung Roboter in den Krieg schicken können.
Ein IMHO von Oliver Nickel

Waffensystem Spur: Menschen töten, so einfach wie Atmen
Artikel
  1. OpenBSD, TSMC, Deathloop: Halbleiterwerk für Automotive-Chips in Japan bestätigt
    OpenBSD, TSMC, Deathloop
    Halbleiterwerk für Automotive-Chips in Japan bestätigt

    Sonst noch was? Was am 15. Oktober 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

  2. Whatsapp: Vater bekommt wegen eines Nacktfotos Ärger mit Polizei
    Whatsapp
    Vater bekommt wegen eines Nacktfotos Ärger mit Polizei

    Ein Vater nutzte ein 15 Jahre altes Nacktfoto seines Sohnes als Statusfoto bei Whatsapp. Nun läuft ein Kinderpornografie-Verfahren.

  3. Pornoplattform: Journalisten wollen Xhamster-Eigentümer gefunden haben
    Pornoplattform
    Journalisten wollen Xhamster-Eigentümer gefunden haben

    Xhamster ist und bleibt Heimat für zahlreiche rechtswidrige Inhalte. Doch ohne zu wissen, wer profitiert, wusste man bisher auch nicht, wer verantwortlich ist.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Bis 21% auf Logitech, bis 33% auf Digitus - Cyber Week • Crucial 16GB Kit 3600 69,99€ • Razer Huntsman Mini 79,99€ • Gaming-Möbel günstiger (u. a. DX Racer 1 Chair 201,20€) • Alternate-Deals (u. a. Razer Gaming-Maus 19,99€) • Gamesplanet Anniversary Sale Classic & Retro [Werbung]
    •  /