Sicherheitslücke in MAT & Tails wird geschlossen

Metadaten können verraten, wer ein Dokument bearbeitet hat. Wir haben getestet, wie gut sie sich mit dem Programm MAT entfernen lassen. Dabei haben wir ein Sicherheitsproblem entdeckt und gemeldet. Jetzt will MAT (Teil von Tails) das Problem beheben.

[→ English version]

Die Linux-Distribution Tails ermöglicht anonyme und sichere Kommunikation. Darum wird sie von Journalisten und Aktivistinnen eingesetzt, unter anderen auch von Edward Snowden.
Bei der Nutzung von Tails gibt es einiges zu beachten. Wer das Betriebssystem falsch verwendet, kommuniziert unsicher. Also darf Tails nicht unbedacht eingesetzt werden. Unser Metadaten-Test hat das bestätigt.

Tails ist sicher – aber kritisch nutzen

Um es vorweg zu sagen: Tails ist noch immer sicher, soweit wir das beurteilen können. Wer auf Datenschutz, Anonymität und Datensicherheit angewiesen ist, muss sich die Programme und deren Bedienung allerdings ganz genau ansehen – sonst ist die gefühlte Sicherheit eine trügerische. Wir haben auf dem Digitalcourage-AKtiVCongrEZ 2016 das Programm Metadata Anonymisation Toolkit kurz: MAT getestet, das in Tails enthalten ist, aber auch unter anderen Betriebssystemen installiert werden kann.
MAT entfernt problematische Metadaten aus Dateien, zum Beispiel aus Bildern, Ton-, Text- und Archivdateien. Hier lauert allerdings eine Sicherheitslücke, die hoffentlich bald geschlossen wird.

Warum sind Metadaten problematisch?

Viele Programme und Geräte fügen beim Erstellen und Bearbeiten von Bildern, Audio-Dateien und formatierten Texten den Dateien weitere Informationen hinzu. Diese Metadaten sind beispielsweise: Autor.in, Erstelldatum, Verzeichnisstruktur, verwendete Software, Lizenz oder Geo-Daten. Das kann gewollt sein, es kann aber auch verraten, wer, wann und wo diese Datei verwendet hat. Wer Dokumente vertraulich weitergeben möchte, Informant.innen schützen möchte oder nicht will, dass ein Foto-Blog automatisch ausliest, wo ein Foto aufgenommen wurde, sollte Metadaten löschen. Tails bietet dafür das Programm MAT.

Wir setzen uns für Ihre Privatsphäre und Grundrechte ein. Werden Sie Fördermitglied bei Digitalcourage.

MAT-Motto: Alles oder Nichts

MAT hat einen großen Vorteil: Es deckt viele gängige Dateiformate ab, während die meisten Tools spezialisiert sind (exiv2, jhead etc.). MAT verwendet einen „Alles oder nichts“-Ansatz: Damit ist keine Unterscheidung zwischen „kritischen“ und (weitgehend) unverfänglichen technischen Metadaten (z.B. Blende/Belichtungszeit bei Fotos) möglich. Zudem überschreibt es in der Voreinstellung die Originaldateien ohne Nachfrage und ohne eine Sicherheitskopie zu erstellen.

MAT unter die Lupe genommen

Während unserer Erforschung des Metadata Anonymisation Toolkit haben wir eine Sicherheitslücke entdeckt: MAT löscht nicht in jeder Situation alle Metadaten. Glücklicherweise zeigt es die verbliebenen Daten aber an – jedoch nur, wenn Sie das Dokument erneut geprüft haben. Daher ein genereller Tipp: Nach dem Entfernen der Metadaten immer erst prüfen, ob auch wirklich alles gelöscht wurde. Bis eine verbesserte Version von MAT zur Verfügung steht, lautet unsere Empfehlung: Entfernen Sie nach Möglichkeit die Metadaten von Bildern und anderen Dateien, bevor Sie diese in eine PDF-Datei oder ein anderes Containerformat einbetten. Wenn von Anfang an nur eine PDF-Datei (oder einen anderen Container) vorliegt, wird es schwieriger: vielleicht können Sie die benötigten Teile extrahieren, zum Beispiel mit den Tools pdfimages und pdftext. Dann bereinigen sie diese Teile und fügen sie mit LibreOffice oder Scribus zu einer neuen PDF-Datei zusammen, oder Sie sammeln einfach die bereingten Teile in einem Tar-Archiv. Stellen Sie sicher, dass die Dateien, die Sie letztendlich senden, bereinigt sind – als letzten Schritt vor dem Absenden.

Auf dem Laufenden bleiben: Newsletter abonnieren

Sicherheitslücke wird behoben

Wir haben die Sicherheitslücke den Entwickler.innen von MAT gemeldet und in die Fehlerdatenbank von MAT eingetragen. Wir konnten dem MAT-Hauptentwickler eine Software-Blibliothek empfehlen und ihn damit überzeugen, das Problem anzugehen. Er hat es für das nächste Major Release 0.7 auf den Erledigungsliste gesetzt. Erfreulich ist jetzt schon, dass die Entwickler unseren Fehlerbericht zum Anlass genommen haben, auf der MAT-Website deutlich auf das Problem hinzuweisen.

Unser Test-Setting

Und so haben wir getestet: Wir haben ein PDF-Dokument erstellt, das ein Bild enthielt. Wie üblich enthielten sowohl das PDF-Dokument selbst als auch die Bilddatei Metadaten. Diese haben wir mit MAT versucht zu löschen. Während MAT die Metadaten des PDF-Dokuments entfernte, blieben die Metadaten im eingebetteten Bild erhalten. Die verbliebenen Metadaten wurden von MAT selbst angezeigt, als wir die bereinigte Datei erneut prüfen ließen.

Digitalcourage wirkt. Wirken Sie mit!

Wie kann das geschehen?
PDF ist ein Containerformat, das andere Dateien enthalten kann. MAT benutzt für das Anzeigen der Metadaten das Tool exiftool, das auch geschachtelt enthaltene Bilder und andere Dokumente untersucht. Das Entfernen der Metadaten übernimmt MAT aber selbst. Und der Programmierer hat offensichtlich vergessen oder fand es zu aufwändig, auch die enthaltenen Bilder und Dokumente zu bereinigen.

Weitere Informationen

Update am 20. Januar 2017: Der relevante Eintrag in der Fehlerdatenbank von MAT ist von https://labs.riseup.net/code/issues/11067 nach https://0xacab.org/mat/mat/issues/11067 umgezogen.

Update am 6. September 2018: MAT2 ist fertig. Diese Version bringt viele Änderungen und kann auch PDF-Dateien zuverlässig von Metadaten befreien. Neue Website: https://0xacab.org/jvoisin/mat2. MAT2 setzt Python 3.5 oder neuer voraus. Bisher gibt es eine Installationsanleitung für Linux.