Original-URL des Artikels: https://www.golem.de/news/alphakanal-gimp-verraet-geheimnisse-in-bildern-2002-146504.html    Veröffentlicht: 14.02.2020 07:00    Kurz-URL: https://glm.io/146504

Alphakanal

Gimp verrät Geheimnisse in Bildern

Wer in Gimp in einem Bild mit Transparenz Bildbereiche löscht, der macht sie nur durchsichtig. Dieses wenig intuitive Verhalten kann dazu führen, dass Nutzer ungewollt Geheimnisse preisgeben.

Ein überraschendes Verhalten beim Editieren von Bildern im Grafikprogramm Gimp kann dazu führen, dass Nutzer scheinbar gelöschte Informationen preisgeben. Wenn in einem Bild ein Alphakanal aktiviert ist, führt das Löschen eines Bildbereichs nicht dazu, dass die Pixel dort tatsächlich gelöscht werden. Vielmehr werden diese nur als komplett transparent markiert. Ein exportiertes PNG-Bild kann daher unerwünscht noch entfernte Informationen enthalten.

Bei transparenten PNG-Bildern werden für jedes Pixel vier Farbwerte abgespeichert: die üblichen Rot-, Grün- und Blauwerte sowie ein vierter Wert für die Transparenz, der sogenannte Alphakanal. Dadurch ist es möglich, dass ein Bildbereich Farbdaten enthält, die unsichtbar sind, weil dort das Bild durch den Alphakanal komplett durchsichtig ist.

Private Daten können in Social-Media-Posts landen

Problematisch wird dies, wenn ein Nutzer Gimp nutzt, um beispielsweise aus einem Screenshot private Daten zu entfernen. Das kann etwa eine Adresse oder eine Kreditkartennummer sein, die ein Nutzer entfernen möchte, bevor ein Bild in einem Social-Media-Post veröffentlicht wird. Die scheinbar gelöschten Daten lassen sich trivial wieder rekonstruieren, indem man den Alphakanal aus dem Bild entfernt.

Auf dieses Verhalten von Gimp hat der IT-Sicherheitsexperte Will Dormann von der Organisation CERT/CC hingewiesen. Die Gimp-Entwickler sehen allerdings in dem Verhalten kein Problem. Ein Fehlerreport, den Dormann erstellt hat, wurde geschlossen. Die Gimp-Entwickler erklärten, dass dieses Verhalten so gedacht sei.

Es gibt verschiedene Möglichkeiten, dieses Problem zu vermeiden. Eine relativ zuverlässige Methode ist es, Daten nicht zu löschen, sondern etwa mit einem schwarzen Balken zu übermalen. Beim Export in reine Pixel-Formate sollte damit sichergestellt sein dass die Daten überschrieben werden. Bei Formaten, die mehrere Ebenen unterstützen, etwa dem Gimp-eigenen XCF-Format, muss man jedoch auch hier vorsichtig sein.

Doch das größte Problem dürfte sein, dass viele Anwender sich über diese Problematik überhaupt keine Gedanken machen. Dass ein Bildbearbeitungsprogramm Daten mit einer Löschfunktion nicht löscht, ist zumindest sehr überraschend.

Gimp ist von den gängigen Grafikbearbeitungsprogrammen das einzige, das dieses Verhalten zeigt. Dormann hat verschiedene andere Programme getestet, darunter Photoshop, Paint.net und Krita. In all diesen Programmen führt ein Löschen tatsächlich dazu, dass die darunterliegenden Pixel entfernt werden.

Shellskript identifiziert möglicherweise problematische Bilder

Wer den Verdacht hat, dass er selbst von dem Problem betroffen ist, kann unter Linux-Systemen ein von uns bereitgestelltes Shellskript nutzen. Das Skript extrahiert aus Bildern den Alphakanal und prüft, ob dieser transparente Bereiche enthält. Wenn das der Fall ist, wird eine Warnung ausgegeben und das Bild neben einer Version ohne Alphakanal in einem temporären Verzeichnis bereitgestellt.

Diese Bilder kann man dann manuell prüfen. Das Skript kann beispielsweise genutzt werden, um einen Datenexport von Plattformen wie Twitter auf möglicherweise sensible Bilder zu prüfen.

Nachtrag vom 14. Februar 2020, 11:06 Uhr

Die Entwickler von GIMP haben in ihrem Bugtracker ein Statement veröffentlicht.  (hab)


Verwandte Artikel:
Bildbearbeitung: Gimp-Entwickler geben Ausblick auf Funktionen in diesem Jahr   
(07.01.2019, https://glm.io/138553 )
Partnersuche: Datenschützer kippen Start von Facebook Dating in Europa   
(13.02.2020, https://glm.io/146619 )
Influencer: Neue Regeln und Werkzeuge bei Facebook Gaming   
(31.01.2020, https://glm.io/146387 )
Bildbearbeitung: Rawtherapee 5.8 schärft Bilder unscharfer Objektive   
(07.02.2020, https://glm.io/146490 )
Sicherheitspatches: Android lässt sich per PNG-Datei übernehmen   
(08.02.2019, https://glm.io/139277 )

© 1997–2020 Golem.de, https://www.golem.de/