Google: Ursache für Acropalypse-Lücke in Android seit Jahren bekannt

Die Ursache für die als Acropalypse bezeichnete Sicherheitslücke in Android ist dem Entwicklungsteam von Google offenbar schon deutlich früher gemeldet worden als bisher bekannt. Die Lücke ermöglicht es, abgeschnittene oder übermalte Teile eines Pixel-Screenshots wiederherzustellen. Gefunden haben die Lücke Simon Aarons und David Buchanan, die die Ursache (Root Cause) in einer offenbar nicht dokumentierten Änderung der Android-API sehen. Damit verbundene Fehler sind dem Entwicklungsteam von Google aber bereits vor rund vier Jahren gemeldet worden.

Darauf weist die Entwicklerin Iliana Etaoin in ihrem Blog hin. In der Beschreibung der Lücke hatten deren Entdecker noch auf einen zwei Jahre alten Fehler verwiesen. Das eigentliche Problem dabei ist, dass beim Schreiben und vor allem Überschreiben von Dateien, diese nicht mehr automatisch abgeschnitten werden. Vor der Änderung der API sind die Dateien aber eben automatisch abgeschnitten worden. App-Entwickler hätten ihre Nutzung der API also anpassen müssen.

Wie beschrieben ist das Team von Google bereits im Juni 2019 im Rahmen der Beta-Phase von Android Q auf dieses Problem hingewiesen worden. In dem entsprechenden Bug-Report heißt es explizit, dass das neue Verhalten sich von früheren Android-Systemen unterscheide, "was zu Kompatibilitätsproblemen führen kann". Das Team von Google wird letztlich sogar dazu aufgefordert, das geänderte Verhalten wenigstens in der Dokumentation zu erwähnen, was jedoch nicht passiert ist. Das Team von Google hat den Fehlerbericht dann rund ein Jahr später im Mai 2020 ohne Änderung geschlossen.

Zwar hat Google die Sicherheitslücke in dem eigenen Pixel-Screenshot-Werkzeug geändert. Möglicherweise sind aber auch noch zahlreiche weitere Apps von ähnlichen Problemen betroffen. Überraschenderweise fanden die Programmierer eine ähnliche Lücke auch in einem Windows-Werkzeug, das ebenfalls auf nicht standardmäßig abgeschnittene Dateien beim Schreiben dieser zurückzuführen ist.