Connect with us

Datenschutz & Sicherheit

Android 17 hat direkt Sicherheitspatches mit an Bord


In der neuen Androidversion 17 hat Google vom Start weg 22 Softwareschwachstellen geschlossen. Angreifer hätten unter anderem Schadcode auf Geräte einschleusen können.

Weiterlesen nach der Anzeige

Gefahren theoretischer Natur

Das geht aus einer Warnmeldung hervor, die die Entwickler eigenen Angaben zufolge aus Transparenzgründen veröffentlicht haben. Daraus geht hervor, dass alle geschlossenen Lücken im Framework und System mit dem Bedrohungsgrad „hoch“ eingestuft sind.

An diesen Stellen hätten Angreifer auf nicht näher beschriebenen Wegen unter anderem Schadcode aus der Ferne ausführen, sich höhere Nutzerrechte erschleichen, vertrauliche Informationen abgreifen oder das Gerät per Denial-of-Service-Angriff lahmlegen können. Mit dem Patchlevel 2026-07-01 seien diese Sicherheitsprobleme gelöst. Die Sicherheitspatches sind auch im Android Open Source Project (AOSP) verfügbar. Ob auch andere Androidversionen von den Schwachstellen betroffen sind, geht aus der Warnmeldung nicht hervor.

Google hat Android 17 am 16. Juni für Pixel-Smartphones veröffentlicht.

Lesen Sie auch


(des)



Source link

Verwandte Themen:
Weiterlesen

Datenschutz & Sicherheit

Überwachungsbrille von Meta: Ich sehe was, was du nicht siehst


Die Stadt Potsdam hat Smart Glasses kürzlich in ihren Bädern verboten. Die französische Datenschutzaufsicht warnt vor den Brillen und spricht davon, dass sie Überwachung normalisieren könnten. Und auch in Brüssel erhöht sich der Druck: Europaabgeordnete fordern Aufklärung darüber, wer die mit den Brillen aufgezeichneten Bilder eigentlich zu sehen bekommt.

Smart Glasses sind der neue Technik-Hype und mit den dicken schwarzen Brillen mit der eingebauten Kamera verbreitet sich auch die Kritik an den Gefahren. Influencer filmen damit heimlich Frauen am Strand oder auf der Straße und veröffentlichen das Material im Netz, eine neue Form der digitalen Gewalt.

Zugleich warnen Kritiker*innen vor den tiefgreifenden Veränderungen durch die Brillen. Eine umfassende rechtswissenschaftliche Betrachtung stellte fest: „Smart Glasses bergen aufgrund fehlender Transparenz der Informationserfassung sowie mangelnder Kontrolle anschließender Informationsverarbeitung eine erhebliche Gefahr der Beeinträchtigung der Privatsphäre und damit rechtlich verbürgter Persönlichkeitsrechte der von ihnen erfassten Personen.“

Dabei gingen die Gefahren „weit über die bisher verwendeten Arten der optischen, akustischen und elektronischen Informationserfassung“ wie bei Videoüberwachung oder Smartphones mit Kameras hinaus. Problematisch ist dabei nicht nur die Tiefe des technischen Eingriffs, sondern auch die absehbare Breite ihrer Anwendung, wenn immer mehr Menschen die Brillen nutzen.

Mit den heutigen Möglichkeiten der biometrischen Gesichtserkennung hat sich dieses Problem noch verschärft. Denn auch wenn in den Modellen von Meta bislang keine Funktion zur Gesichtserkennung scharf gestellt ist, hat der Konzern diese schon in Stellung gebracht. Es ist nur eine Frage der Zeit, bis jede Begegnung mit einer brillentragenden Person die Frage aufwirft: Werde ich gerade identifiziert?

Was macht es mit einer Gesellschaft, wenn man davon ausgehen muss, in jeder Situation unbemerkt gefilmt werden zu können? Sollte das überhaupt erlaubt sein? Und wer könnte die Technologie jetzt noch stoppen?

Wir beantworten die wichtigsten Fragen zu den neuen Überwachungsbrillen:

Was können die Brillen und wie werden sie beworben?

Die Überwachungsbrillen werden als Smart Glasses vermarktet und gehören zu den sogenannte Wearables, sind sind also tragbare, mit Computern ausgestattete Geräte.

Die Datenbrillen können einerseits filmen und damit die Umgebung erkennen und andererseits Informationen im Sichtfeld einblenden. Manche Brillen haben weitere Sensoren sowie Mikrofon und Lautsprecher verbaut. Die Geräte werden meist mit einem weiteren Gerät wie einem Smartphone sowie Apps verknüpft und sind so mit dem Internet und KI-Anwendungen verbunden.

Die Brillen haben im Gegensatz zur klassischen Virtual-Reality-Brille transparente Gläser, die um Informationen ergänzt werden können, und sollen für Anwendungen der Augmented oder Mixed Reality genutzt werden. Darunter versteht man, dass der klassischen menschlichen Sicht eine weitere Ebene der Information hinzugefügt wird, es handelt sich dabei um eine Art Mensch-Maschine-Schnittstelle, ähnlich wie bei Cyborgs.

Denkbare Nutzungen neben dem Fotografieren und Filmen sind Objekt- und Gesichtserkennung, Navigation, Unterhaltung, Kommunikation oder Interaktion mit einem Endgerät.

Erkennt man, wenn mit der Brille gefilmt wird?

Laut Meta: ja. Eine kleine weiße Leuchtdiode am rechten Rand des Rahmens zeigt an, dass jemand seine Umgebung mit der Brille gerade aufzeichnet oder dass die KI-Funktion aktiv ist, mit der sich Nutzer*innen Informationen zu ihrer Umgebung anzeigen lassen können.

Allerdings ist die Leuchte leicht zu manipulieren. Im Netz kursieren zahlreiche Anleitungen, um heimlich mit der Brille filmen zu können. Und auch sonst ist für Umstehende nicht unbedingt zu erkennen, ob die Brille gerade aufnimmt, zum Beispiel bei hellem Sonnenschein oder Gegenlicht.

Für Sprachaufnahmen gibt es gar keinen Hinweis. Laut Meta kann das Mikrofon mindestens im Umkreis von zwei Metern aufnehmen.

Alles netzpolitisch Relevante

Drei Mal pro Woche als Newsletter in deiner Inbox.

Kann man die Brille mit dem eigenen Instagram-Account verbinden?

Die Brille funktioniert nur in Kombination mit einer Begleit-App auf dem Handy. Diese kann auch mit dem eigenen Instagram- oder Facebook-Account verbunden werden. Danach können Nutzer*innen Aufnahmen aus der Brille etwa direkt in ihren Insta-Stories posten. Technisch sind in der Zukunft alle möglichen App- und Daten-Verknüpfungen der Brillen denkbar, so wie das heute auch mit Smartwatches passiert.

Kann die Brille auch Gesichter erkennen?

In früheren Versionen der Smart Glasses hat Meta nach rechtlichen Abwägungen auf Gesichtserkennung verzichtet. Noch im April sagte Meta, sollte man Gesichtserkennung einführen, würde diese nicht geschehen, ohne zuvor „sehr sorgfältig vorzugehen“.

Anfang Juni deckte das US-Magazin WIRED dann auf, dass Meta die Funktion zur Gesichtserkennung bereits in Position gebracht hat. In den neueren Versionen der App, die Nutzer*innen für den Einsatz der Brille herunterladen müssen, war die Funktion bereits im Code hinterlegt, wenn auch noch nicht offengelegt. Zuvor hatte bereits die New York Times über die Pläne berichtet, die Smart Glasses von Meta mit einer Gesichtserkennung auszustatten.

Das neue Feature heißt NameTag und erkennt Menschen im Gesichtsfeld der Kamerabrille. Ist es aktiv, kann es Träger*innen auf eine erkannte Person hinweisen. Nach der Veröffentlichung von WIRED hat Meta die Funktion in der neuen Version der App wieder aus dem Code entfernt.

Was passiert mit den Daten?

Nach Angaben von Meta werden die Aufnahmen, die mit den Brillen gemacht werden, zunächst nur zwischen der Brille und der zugehörigen App synchronisiert und können von dort aus auf dem Handy gespeichert werden.

Ist die Funktion des „Cloud Processing“ eingeschaltet, werden die Aufnahmen jedoch auch an einen Meta-Server verschickt. Auch Aufnahmen, die mit der Meta-KI analysiert werden, werden dafür auf einen Server übermittelt. Mit dieser Funktion können sich Nutzer*innen zusätzliche Informationen zu Dingen anzeigen lassen, die im Sichtfeld auftauchen, etwa Speisekarten übersetzen lassen oder ein Denkmal erklärt bekommen.

Kann auch die Polizei die Aufnahmen zu Gesicht bekommen?

Alle Daten, die privat gesammelt werden, können unter bestimmten rechtlichen Voraussetzungen wie beispielsweise bei Ermittlungsverfahren auch in die Hände der Polizei gelangen. Die Nutzung solcher Brillen wird zu mehr privater Videoüberwachung des öffentlichen Raumes führen und damit auch potentiell zu mehr Daten für Ermittlungsbehörden. Es ist ein Ausbau privater Überwachung, ähnlich wie Heimüberwachungssysteme wie Amazon Ring.

Bekommen weitere Menschen die Aufnahmen zu Gesicht?

In den Nutzungsbedingungen von Meta steht, dass die Interaktionen mit seinen KI-Assistenten sowohl automatisiert als auch „manuell“ von Menschen überprüft werden könnten. Meta lagert diese Prüfungen an Subunternehmen aus. Die schwedische Zeitung Svenska Dagbladet sprach im Frühjahr mit Mitarbeiter*innen eines solchen Unternehmens in Kenia. Sie berichten, dass sie im Rahmen ihrer Arbeit Aufnahmen sichten müssen, die Menschen nackt, auf der Toilette oder beim Sex zeigten. In den USA läuft deswegen schon eine Sammelklage gegen Meta.

Was tun Datenschutzbehörden in der EU?

Zuständig für den Datenschutz von Meta ist die irische Datenschutzaufsicht DPC, denn dort hat der Konzern seinen EU-Sitz.

Doch auch jenseits von Irland bringen sich Aufsichtsbehörden derzeit in Stellung. Die französische Behörde CNIL hat im Mai eine Warnung vor den Brillen ausgesprochen. Sie stellten ein „erhebliches Risiko“ für die Normalisierung von Überwachung dar und könnten „zu einem tiefgreifenden Wandel unserer Gesellschaften führen“.

Auch der Europäische Datenschutzausschuss (EDPD) hat eine Arbeitsgruppe zum Thema eingerichtet. Ein Bericht soll diesen Sommer erscheinen. Nach den Veröffentlichungen in Schweden haben sich auch Abgeordnete des EU-Parlaments eingeschaltet und fordern Aufklärung.

Der Knackpunkt aus Sicht der Datenschutzgrundverordnung (DSGVO) ist die Frage, ob die kleine LED an der Brille den Anforderungen eines Hinweises genügt. Denn laut DSGVO darf nur gefilmt werden, wer erkennbar darauf hingewiesen wurde und zustimmt („notice and consent“), egal ob das in der U‑Bahn oder auf einem Konzert geschieht. Verbraucherschützer*innen warnen, eine solche Einwilligung sei im Fall von Smart Glasses realistischerweise gar nicht möglich.

Darf man eine andere Person ohne deren Zustimmung einfach so filmen?

Andere ohne deren Zustimmung auf der Straße einfach zu filmen, ist in Deutschland nicht prinzipiell verboten, kann aber eine Verletzung des Persönlichkeitsrechts darstellen. Das lässt sich zivilrechtlich verfolgen.

Ähnlich ist es mit dem „Recht am eigenen Bild“ laut Kunsturhebergesetz: Aufnahmen, auf denen eine andere Person erkennbar ist, darf man nur veröffentlichen, wenn diese ausdrücklich zustimmt. Ausnahmen gelten für Personen der Zeitgeschichte, auf Großveranstaltungen oder wenn jemand auf einem Landschaftsbild nur im Hintergrund als Beiwerk auftaucht. Ein Livestream mit der Brille in der Innenstadt, bei einer Wanderung oder einem Festival ist immer ein Verstoß gegen das Gesetz, wenn dort Menschen ungefragt ins Netz gestreamt werden. Allerdings können Betroffene nur zivilrechtlich dagegen vorgehen und zum Beispiel auf Unterlassung oder Schadensersatz klagen.

Wir sind ein spendenfinanziertes Medium.

Unterstütze auch Du unsere Arbeit mit einer Spende.

Es gibt also einen Unterschied zwischen dem eigentlichen Filmen und der Veröffentlichung. Allerdings kann auch schon das reine Filmen ein Verstoß sein – gegen die Datenschutzgrundverordnung der EU.

Diese Deepfakes sollen künftig strafbar sein

Mit dem Handy oder mit einer Überwachungsbrille gefilmt: Wo ist der Unterschied?

Aus rechtlicher Sicht macht es in Deutschland keinen Unterschied, womit gefilmt wird. Entscheidend ist, wo eine Aufnahme entsteht und wie sie weiterverwendet wird.

Aber: Eine Handykamera wird von Umstehenden meist klar als Kamera wahrgenommen. Sie bekommen mit, dass gefilmt wird, und können sich wegducken, ausweichen oder die filmende Person ansprechen. Eine in eine Brille eingebaute Kamera ist für viele nicht zu erkennen. Nutzer*innen können damit filmen und andere sogar identifizieren, ohne dass Menschen in ihrer Umgebung eine Chance hätten, das zu merken oder dem zu widersprechen.

Geht es um den Datenschutz, ist das ein relevanter Unterschied, weil die DSGVO nach der Zustimmung verlangt, bevor andere gefilmt werden dürfen.

Darf man andere nackt in der Sauna oder am FKK-Strand filmen?

Derzeit sind solche heimlichen Voyeursaufnahmen zwar verboten, aber nicht strafbar. Das zeigte ein Fall aus Leipzig. Die dortige Staatsanwaltschaft hat das Verfahren gegen einen Mann eingestellt, der zwei Frauen heimlich in der Sauna filmte. Die Begründung: Bei einer Sauna handele es sich nicht um einen vor Blicken besonders geschützten Raum – das wäre aber die Voraussetzung für eine Verletzung des höchstpersönlichen Lebensbereichs durch Bildaufnahmen laut Strafgesetzbuch.

Das Bundesjustizministerium plant, dies zu ändern. Im Entwurf für das neue Gesetz gegen digitale Gewalt ist vorgesehen, das heimliche Filmen als eigenen Tatbestand ins Strafgesetzbuch aufzunehmen. Derzeit läuft die Konsultation der Verbände, bevor das Gesetz im Bundestag diskutiert wird.

Was, wenn ich im Bikini am Badesee gefilmt werde?

Betroffene haben im Fall von heimlichen Bikiniaufnahmen noch weniger Handhabe als bei Nacktaufnahmen. Sogenannte „Rizzfluencer“ nutzen das aus. Sie filmen Frauen mit Hilfe von Smart Glasses heimlich am See, in der Kneipe oder auf der Straße und veröffentlichen das Material im Netz für Reichweite.

Betroffene können in so einem Fall nur auf eigene Faust vor Gericht ziehen und wegen Verstoßes gegen das Persönlichkeitsrecht klagen. Doch dieser Privatklageweg ist teuer und anstrengend, kritisieren Fachleute.

Das geplante Gesetz gegen digitale Gewalt könnte das womöglich ändern. Laut Entwurf soll auch strafbar werden, das Gesäß oder die weibliche Brust „in sexuell bestimmter Weise“ zu filmen. Doch die Formulierung steht in der Kritik, weil sie vage ausfällt. Fachleute fürchten, dass sie Betroffenen nicht helfen wird.

Wie nennt man Menschen, die diese Brillen benutzen?

Es haben sich verschiedene Bezeichnungen für die Nutzer:innen solcher Brillen eingebürgert. Bei dem Versuch von Google in den 2010er-Jahren, eine solche Brille einzuführen, etablierte sich der Name „Glasshole“ – eine Kombination aus dem Produkt „Google Glass“ und „Asshole“ (Arschloch). Der abfällige Name geht darauf zurück, dass Menschen das Produkt als invasiv und die Nutzer:innen es als übergriffig empfanden.

Im Zusammenhang mit Metas Überwachungsbrille ist derzeit von „Pervert Glasses“ die Rede, die Nutzer:innen wurden in Wired als „Meta Creeps“ und weiterhin auch als „Glassholes“ bezeichnet.

Wie viele der Brillen sind schon im Umlauf?

Das Unternehmen EssilorLuxoticca, das die Brillen für Meta herstellt, spricht von mehr als sieben Millionen weltweit verkauften Exemplaren im vergangenen Jahr. In diesem Jahr sollen es zehn Millionen werden. Wie viele davon in Europa verkauft wurden, gibt das Unternehmen nicht bekannt.

Noch dominiert Meta diesen Markt. Doch weitere Tech-Konzerne wie Apple und OpenAI haben bereits eigene Modelle angekündigt.



Source link

Weiterlesen

Datenschutz & Sicherheit

Critical Security Patch Update: Oracle veröffentlicht 245 Sicherheitsupdates


Der Softwarehersteller Oracle hat zahlreiche Softwareschwachstellen in seinem Anwendungsportfolio geschlossen. Angreifer können an Sicherheitslücken in etwa Identity Manager, MySQL Server, Solaris oder WebLogic Server ansetzen.

Weiterlesen nach der Anzeige

Weil PeopleSoft PeopleTools bereits von der Cybergang ShinyHunters attackiert wird, haben die Entwickler vergangene Woche ein Notfallsicherheitsupdate veröffentlicht, um die „kritische“ Lücke (CVE-2026-35273) zu schließen. Darüber gelangt Schadcode auf Systeme und kompromittiert diese. Demzufolge müssen Admins umgehend handeln. Bislang gibt es keine Berichte, dass Angreifer noch weitere Lücken ausnutzen.

In einer umfangreichen Liste führt der Softwarehersteller insgesamt 245 Sicherheitspatches auf. Hier sollten Admins ganz genau hinschauen und die für sie relevanten Anwendungen sichten. Dort finden sich auch die konkret bedrohten Ausgaben. Oracle rät zu einer zügigen Installation. Zusätzlich müssen Admins sicherstellen, dass auch die Updates aus vergangenen Quartalsupdates installiert sind.

Einblick in Bedrohungen

Die Auflistung aller Gefahren sprengt den Rahmen dieser Meldung. Dementsprechend gibt es hier nur einen Ausschnitt zu besonders gefährlichen Sicherheitslücken. Darunter fallen etwa mehrere „kritische“ Schwachstellen (etwa CVE-2026-46933) in E-Business Suite. An diesen Stellen kann unter anderem Schadcode Systeme kompromittieren.

Als „kritisch“ gelten auch mehrere Lücken (etwa CVE-2026-46854) in Enterprise Manager. JD Edwards ist ebenfalls über „kritische“ Schwachstellen attackierbar. Oracle Solaris ist sogar über eine „kritische“ Sicherheitslücke (CVE-2026-46978) mit maximalem CVSS Score 10 von 10 angreifbar.

Weiterlesen nach der Anzeige

Lesen Sie auch


(des)



Source link

Weiterlesen

Datenschutz & Sicherheit

Fußball-WM: FIFA-Streaming war einfach knackbar


BobDaHacker nennt sich die IT-Sicherheitsforscherin, die behauptet, sie habe Zugang zu einigen internen FIFA-Plattformen aufgrund einfacher Fehler im Sicherheitskonzept erlangen können. Damit wäre es möglich gewesen, das Live-Streaming der Spiele zu manipulieren – etwa mit einer Rickroll. Inzwischen hat die FIFA die Schwachstellen ausgebessert.

Weiterlesen nach der Anzeige

In einem Blog-Beitrag schreibt BobDaHacker, wie der Zugriff möglich wurde. Eine Anmeldung auf der FIFA-Beraterseite (FIFA Agent Platform) war ganz einfach mit einem Ausweis und dem Bestätigen einer E-Mail-Adresse möglich. Die Anmeldung legt das Konto im Microsoft-Entra-Tenant der FIFA an. Darüber laufen offenbar alle internen FIFA-Plattformen. Ein erster Versuch des Zugriffs auf die FIFA-Football-Daten-Plattform fdp.fifa.org schien eine Prüfung vorzunehmen und wies BobDaHacker mangels entsprechender Rolle ab. Allerdings handelte es sich um eine clientseitige Prüfung. Die Backend-API auf den Servern hingegen nimmt keinerlei Prüfung vor.

Die clientseitigen Abfragen lassen sich umgehen, und so war der Zugriff auf das Streaming-Management-Panel möglich – das echte Live-System, mit allen RTMP-URLs, Streaming-Keys und Ausgabe-URLs. Da landen die Streams aus den Stadion-Kameras, was eine Prüfung der URLs mit VLC bestätigte. Das Portal wies Schaltflächen auf, mit denen die Streams sich stoppen und starten lassen. Bösartige Angreifer hätten damit die Kamera-Streams umleiten und durch eigene Inhalte ersetzen können.

Vollzugriff trotz „NO_ROLES“

Der Zugriff war den Angaben BobDaHackers zufolge auf die komplette Plattform möglich, nicht nur auf das Streaming-Management. Teams, Tools, Exchange, Admin – alles zugreifbar. Es wäre auch möglich gewesen, die redaktionellen Kommentatoren-Notizen zu manipulieren, den Anstoß-Zeitpunkt zu ändern und die Punkte- und Spielstatistiken zu manipulieren. Die Meldung der Schwachstelle war etwas schwieriger, nach zehn Anläufen bekam BobDaHacker demnach jedoch Antwort von der US-amerikanischen IT-Sicherheitsbehörde CISA und dem FBI.

In der Nacht wurde die Lücke dann stillschweigend geschlossen, nun liefern auch die Server HTTP-403-Antworten auf Anfragen mit dem Konto mit „NO_ROLES“. Die FIFA hat sich jedoch nicht dazu gemeldet. BobDaHacker verpasst der FIFA aber noch virtuelle Ohrfeigen: Sie solle eine security.txt bereitstellen, es sei schließlich 2026. Clientseitige Autorisierung ist keine Autorisierung, das lerne bereits jeder Praktikant. Außerdem solle die FIFA ein Bug-Bounty-Programm starten, damit IT-Sicherheitsforscher nicht das FBI anrufen müssen, um der FIFA einen Gefallen zu tun. Die kommen inzwischen jedoch häufiger ohne Geldprämien daher.


(dmk)



Source link

Weiterlesen

Beliebt