Nikon kämpft bei der Foto-Authentifizierung nach C2PA (Coalition for Content Provenance and Authenticity) mit Sicherheitslücken, die sich nicht einfach schließen lassen. Einem aufmerksamen Nutzer des Online-Forums DPReview gelang es Anfang September 2025, eine gravierende Schwachstelle im C2PA-Verfahren der Nikon Z6 III aufzudecken. Adam Horshack demonstrierte, wie sich die integrierte Funktion zur Mehrfachbelichtung missbrauchen lässt, um die Authentizitätsprüfung zu umgehen. Nikon teilte daraufhin mit, den Service zur Verifizierung der Bildherkunft vorübergehend ausgesetzt zu haben.

Schwachstelle ausgenutzt

Horshacks Vorgehen beim Aufdecken der Sicherheitslücke war ebenso einfach wie effektiv: Eine Raw-Datei, die von einer beliebigen Kamera ohne C2PA-Fähigkeit stammt, wird auf die Speicherkarte einer entsprechend ausgestatteten Z6 III kopiert. Innerhalb der Kamera wird diese fremde Aufnahme dann mittels Mehrfachbelichtung mit einem neutralen, etwa schwarzen Bild kombiniert. Das Resultat ist alarmierend: Die Kamera signiert das resultierende Kompositbild fälschlicherweise mit einem gültigen C2PA-Zertifikat und bestätigt damit dessen vermeintliche Authentizität. Dafür musste Horshack nicht den kryptografischen Mechanismus der Kamera knacken, sondern konnte ihn einfach umgehen. Inzwischen gelang es ihm sogar, ein offensichtliches KI-Bild mit einem Mops als Piloten eines Flugzeugs als echte Aufnahme zu verifizieren. Hierzu war allerdings mehr Aufwand nötig.

Wie sich inzwischen herausstellte, kann Nikon hier nicht eigenständig eine vollständige Lösung schaffen. Das englischsprachige Nachrichtenportal PetaPixel erklärte in Zusammenarbeit mit Horshark, dass Z6-III-Kameras weiterhin Aufnahmen signieren, wenn sie vorab upgedatet, aber zwischenzeitlich nicht mit der Nikon Imaging Cloud verbunden wurden. Nur eine Verbindung zu dem Online-Dienst stellt die Möglichkeit zur falschen Verifizierung ab. Online-Validierungstools für C2PA-Aufnahmen validieren diese Aufnahmen, denn obwohl es möglich wäre, prüft das Standardverfahren derzeit nicht, ob die Zertifizierung einer Kamera widerrufen wurde. Hier kann Nikon selbst jedoch nicht eingreifen.

Eine endgültige Lösung erfordert daher voraussichtlich ein Firmware-Update für die Z6 III. Nikon hat noch keinen Zeitplan dafür genannt. Das Unternehmen betont, die Angelegenheit sehr ernst zu nehmen und das Vertrauen in seine Dienste wiederherstellen zu wollen.

Nikon plant eigene Wasserzeichen-Technologie mit AFP

Unabhängig von der aktuellen Sicherheitslücke arbeitet Nikon bereits länger an der Entwicklung einer eigenen Lösung. Wie das Unternehmen bereits am 9. Januar 2024 bekannt gab, arbeitet Nikon in Kooperation mit der Agence France-Presse (AFP) an einer neuen Wasserzeichen-Technologie. Diese soll, direkt in die Firmware zukünftiger Kameras integriert, die Herkunft und Integrität von Bildern auch dann nachweisbar machen, wenn herkömmliche Metadaten entfernt oder beschädigt wurden. Ein konkreter Zeitplan für die Implementierung dieser Funktion hat Nikon bislang jedoch nicht kommuniziert.

Diese Entwicklung birgt jedoch das Risiko einer Fragmentierung des Marktes. Während Sony bereits mit der Associated Press (AP) und Canon mit Reuters kooperiert, schlägt nun auch Nikon mit der AFP einen eigenen Weg ein. Solche proprietären Insellösungen stehen im Widerspruch zum ursprünglichen Ziel der Content Authenticity Initiative (CAI), einen universellen und herstellerübergreifenden Standard für die Verifizierung von Bildinhalten zu etablieren.

Die AFP bewertet die Kooperation dennoch als wichtigen Fortschritt. Man sehe darin eine Chance, die Standards des professionellen Journalismus zu wahren und das Vertrauen der Öffentlichkeit in visuelle Medien zu stärken. Für die global agierende Nachrichtenagentur, die in 151 Ländern vertreten ist, stellt die Zusammenarbeit einen entscheidenden Schritt zur Absicherung der Glaubwürdigkeit von Bildmaterial dar.

(tho)

Die Europäische Kommission verlangt von Apple, Google, Microsoft und Booking.com Auskünfte darüber, was sie gegen finanziellen Betrug auf ihren Plattformen unternehmen. Die Brüsseler Behörde stellte ein für die Unternehmen verpflichtendes Auskunftsersuchen, wie ein Sprecher der EU-Kommission bestätigte. „Dies ist auch ein wichtiger Schritt zum Schutz der Nutzer in der gesamten EU“, so der Behördensprecher. Grundlage für das Ersuchen ist das Gesetz über digitale Dienste (Digital Services Act, DSA).

Alle vier Plattformen sollen nun erläutern, wie sie verhindern, dass Nutzerinnen und Nutzer etwa durch fälschliche Angebote finanzielle Schäden erleiden. Bei Apple und Google dürften dabei besonders die Vertriebsplattformen App Store beziehungsweise Google Play im Fokus stehen. Microsoft betreibt auf der Plattform Bing eine Verkaufsplattform. Neben den drei US-Riesen nimmt die EU-Kommission mit Booking.com auch eine Firma mit Sitz in den Niederlanden ins Visier.

Geldstrafen möglich

Bis wann die Plattformen die geforderten Informationen liefern müssen, teilte die Kommission nicht mit. In der Regel gibt die Brüsseler Behörde dafür aber einige Wochen Zeit. Auf Grundlage der Antworten will die Behörde die nächsten Schritte festlegen, hieß es. Wenn die Unternehmen falsche, unvollständige oder irreführende Informationen bereitstellen oder sich weigern, die Fragen zu beantworten, könnte die EU-Kommission Geldstrafen verhängen.

In einem nächsten Schritt könnte die Kommission ein Verfahren gegen die Unternehmen eröffnen. Dann will die Behörde auch mehr Details zu dem Vorgang mitteilen.

Gesetz reguliert große Online-Plattformen

Das Gesetz über digitale Dienste (DSA) soll unter anderem sicherstellen, dass Plattformen illegale Inhalte von ihren Seiten schneller entfernen als bislang. Nutzern sollen solche Inhalte möglichst einfach melden können. Grundsätzlich müssen große Dienste mehr Regeln befolgen als kleine.

Das Gesetz sieht unter anderem vor, dass die Plattformen die Identität ihrer Verkäufer kennen und nachverfolgen können. Dafür sollen sie die entsprechenden Nachweise verlangen und speichern, um die Informationen im Betrugsfall an die Betroffenen weitergeben zu können.

Das Gesetz hatte in der Vergangenheit auch zu Problemen in der Beziehung zwischen der EU und den Vereinigten Staaten geführt. Die US-Regierung unter Präsident Donald Trump kritisierte in der Vergangenheit immer wieder europäische Digitalgesetze wie das DSA als wettbewerbsfeindlich.

(afl)

Das Gnome-Projekt hat Version 49 der Linux-Desktopumgebung veröffentlicht. Das neue Gnome schickt den Videoplayer Totem in Rente und ersetzt ihn durch Showtime (Videowiedergabe).

Auch der altgediente Dokumentenbetrachter Evince muss weichen und wird von Papers (Dokumentenbetrachter) beerbt, das ursprünglich als Fork von Evince gestartet ist. Sowohl Showtime als auch Evince bauen auf den modernen Bibliotheken GTK 4 und Libadwaita auf. Außerdem hat das Gnome-Team die Bedienoberfläche der Kalender-App überarbeitet. Die App solle jetzt barriereärmer sein und eigne sich auch für Nutzer, die ausschließlich mit der Tastatur navigieren oder Bedienungshilfen einsetzen, schreiben die Entwickler.

Abschied von X

Gnome 49 dürfte das letzte Release sein, das noch Code für eine X11-Session enthält. Die Entwickler haben sich dazu entschieden, in GDM (Gnome Display Manager) keine X11-Session mehr anzubieten. Auch wenn die Funktion deaktiviert wird, bleibt der Code noch erhalten. Damit können Distributoren selbst entscheiden, ob sie zusätzlich zu Wayland auch eine X11-Session anbieten. Die vollständige Entfernung des Codes soll dann in Gnome 50 erfolgen. Gnome 49 findet demnächst seinen Weg in die Linux-Distributionen Fedora Workstation 43 und Ubuntu Desktop 25.10, die beide noch dieses Jahr erscheinen.

Anwendungen, die den X-Server benötigen, funktionieren dank Xwayland prinzipiell weiterhin, auch wenn es bekannte Mängel gibt. Xwayland wird Gnome laut den Entwicklern noch Jahrzehnte begleiten.

Versionspflege

Das Gnome-Team hat zudem eine Reihe kleinerer Änderungen vorgenommen. Der Sperrbildschirm hat jetzt Schaltflächen, um die Medienwiedergabe zu steuern, und das Menü mit Bedienungshilfen soll leichter auffindbar sein. Außerdem kann man das System jetzt auch aus dem Sperrbildschirm herunterfahren oder neu starten. Um die Funktion zu aktivieren, muss jedoch zunächst der folgende Befehl ausgeführt werden:

gsettings set org.gnome.desktop.screensaver restart-enabled true

Wer das neue Gnome ausprobieren möchte, bevor es die Distributoren aufnehmen, sollte einen Blick auf Gnome OS werfen. Die Referenzdistribution ist jedoch nur eingeschränkt für den Produktivbetrieb zu empfehlen.

(ndi)