Gerade geht die “Acropalypse” rum. tl;dr: Das Standard-Bildbearbeitungstool unter Pixel-Geräten macht auf bearbeiteten Screenshots/Bildern kein Truncate, bevor es die neue Version speichert. Die ursprünglichen Daten sind also noch teilweise in der Datei vorhanden, wenn das bearbeitete Bild kleiner ist. Der CVE dazu ist CVE-2023-21036.
Bei PNGs lässt sich das relativ einfach detecten, denn da gibt’s einen “End-of-File-Marker” (der IEND
Chunk). Wenn danach noch Daten kommen, sind diese aus dem ursprünglichen Bild.
Das Problem sollte aber prinzipiell nicht nur PNGs, sondern auch JPGs und damit Fotos betreffen. Nur das Rekonstruieren der Daten und das Finden von Extradaten ist anders.
Vor einiger Zeit gab es auch einen anderen lustigen Fehler bei GIMP: Wenn man einen Bereich auswählt und löscht, wurde nur der Alpha-Kanal auf 0 gesetzt. Die eigentlichen RGB-Daten blieben erhalten. Das hat damals Hanno Böck gefunden. Der PoC war damals ein relativ langsames Bash-Skript. Hier hab ich das damals mal implementiert, um damit einen Massenscan auf Bildern durchzuführen.