Google baut einen neuen Mechanismus in Android ein, der betrügerische Anrufe mit gefälschten Kontakten unterbinden soll. Betrugsversuche mit gefälschten Caller-IDs (der übertragenen Anrufer-Rufnummer) soll das eindämmen.

Diese „Fake Call Detection“ (Betrugsanruferkennung) stellt Google nun in einem Blogbeitrag vor. Das Szenario erklärt Google so: Die übertragene Rufnummer eines Anrufs entspricht der eines Kontaktes, etwa der von der eigenen Mutter. Auch die Stimme, die nach dem Rangehen ertönt, klingt echt – dennoch stammt der Anruf von Betrügern, die mittels KI die Stimme imitieren und beispielsweise nach Geld wegen einer Notfallsituation fragen. Wenn Anrufer und Angerufene Google-Smartphones nutzen, soll das Handy nun vor solchen gefälschten Identitäten warnen können. Die Funktion will Google standardmäßig scharfschalten. Der Mechanismus fußt auf der im Mai vorgestellten „Verified Financial Calls“-Funktion, die vor Betrugsversuchen mit gefälschten Kontakten von Finanzinstituten schützt.

Einfacher Mechanismus mit großer Wirkung

Jetzt erklärt Google zudem, wie der Mechanismus funktioniert. Es handele sich um eine Art digitales Händeschütteln zwischen den Geräten, erklären die Autoren des Beitrags. Sofern ein bekannter Kontakt anruft und beide Gegenstellen Google-Smartphones nutzen, senden die Geräte im Hintergrund ein Bestätigungssignal in Echtzeit. Das bestätigt, dass der Anruf legitim ist und tatsächlich vom Gerät des Kontakts ausgeht. Dieses digitale Händeschütteln basiert auf Ende-zu-Ende-verschlüsselten RCS-Nachrichten.

Wenn Betrüger nun mit gefälschter Nummer einen Anruf aufbauen, fehlt diese initiale Bestätigung. Das Gerät des Anrufziels merkt das und sendet einen Ping zum Gerät des eigentlichen Kontakts, um sicherzugehen. Antwortet das Gerät „Ich baue gerade keinen Anruf auf“, zeigt das Gerät der Angerufenen eine Warnung mit dem Ratschlag, sofort aufzulegen. Das soll potenzielle Opfer vor Betrugsanrufen mit Deepfake-Imitierung in Echtzeit schützen. In den Einstellungen der Telefonie-Konfiguration lässt sich die Funktion auch abschalten.

Damit setzt der Mechanismus automatisch das um, was oft als Sicherheitstipp gegen Betrugsanrufe genannt wird: Bei Unsicherheit, ob ein Anruf echt ist, sollten Betroffene auflegen und die Quelle über die bekannten Wege kontaktieren.

Die Funktion will Google jetzt global verfügbar machen und auf Geräte mit Android 12 und neuer bringen. Den Anfang machen die Pixel-Geräte von Google. Einen Zeitplan für die Verfügbarkeit auf anderen Android-Geräten nennt Google derzeit nicht. Durch das Aufsetzen auf offene Standards wie RCS (Rich Communication Services) sollen auch andere Apps als Googles Phone-App und andere Gerätehersteller die Technik übernehmen können.

Google hat bereits weitere Sicherheitsfunktionen in Android umgesetzt. Ende 2024 haben die Entwickler – ebenfalls zunächst auf Pixel-Phones beschränkt – eine KI-basierte Betrugserkennung eingebaut, die den Gesprächsverlauf analysiert und auf typische Merkmale für Betrugsversuche untersucht. Eine Mitteilung auf dem Handy weist in solchen Fällen dann darauf hin, dass es sich wahrscheinlich um einen Betrugsversuch handelt.

(dmk)

Google hat Neuerungen für die Play-System-Dienste angekündigt. Mit einem nutzerseitigen neuen Feature für alle Smartphones und Tablets, die Play-Updates erhalten, sollen sich Passwörter und Passkeys sicher zwischen dem Google-Passwortmanager und Passwortmanagern von Drittanbietern transferieren lassen. Für die sichere Übertragung kommt eine schon 2024 von der Fido Alliance angekündigte Spezifikation zum Einsatz.

Credential Exchange Protokoll

Allmonatlich veröffentlicht Google Updates über die Play-Dienste und den Play Store. Die Aktualisierungen liefern neue Funktionen für alle Smartphones und weitere Produkte des Google-Ökosystems wie Tablets, Uhren, Smart-TVs, Android Auto und Chromebooks, ohne dass ein großes Android-Update vonseiten der Gerätehersteller erforderlich ist.

Mit Version 26.21 der Play-Dienste vom 1. Juni 2026 verteilt Google ein Feature für Android-Smartphones mit der Funktionsbeschreibung „Sie können nun Passwörter und Passkeys mithilfe des Credential-Exchange-Standards zwischen dem Google Passwort-Manager und Passwort-Managern von Drittanbietern importieren und exportieren“.

Was Google kurz und knapp in einem Satz abhandelt, ist aber eine recht wichtige und komfortable Angelegenheit. Denn das heißt, dass Nutzerinnen und Nutzer ihre sensiblen Zugangsdaten und Passkeys auf Android-Geräten nicht mehr umständlich per unsicherer CSV-Datei oder JSON aus einem Passwortmanager exportieren und in einen neuen importieren müssen. Stattdessen kann dies künftig sicher vonstattengehen, da Android nun das „Credential Exchange-Protokoll“ (CXP) der Fido Alliance unterstützt.

Nutzer können mit dem Standard ihre Passkeys von einem Passwortmanager Ende-zu-Ende-verschlüsselt (E2EE) zu einem anderen kopieren. Der Standard lasse sich ebenfalls mit anderen Authentifizierungsinformationen nutzen, worunter unter anderem herkömmliche Kennwörter fallen. Seit der Einführung von CXP unterstützen schon einige Passwortmanager diesen Standard – zu ihnen gehören etwa Bitwarden, 1Password und Dashlane. Auch Apples systemeigener Passwortmanager unterstützt CXP. Das heißt, die Passwörter und Passkeys sollten sich auch über Ökosysteme hinweg sicher transferieren lassen.

Neuerungen im Play Store

Abseits des Updates der Play-System-Dienste bringt Google mit dem Update des Play Stores auf Version 51.7 Neues in den digitalen Android-Laden. So sollen mit der neuen Play-Store-Version unter anderem Verkaufspreise und Rabattdetails – wie Angebote und Termine – im gesamten Play Store übersichtlicher und besser sichtbar dargestellt sein.

In Android Auto, auf Smartphones und Fernseher mit Android oder Google TV erhalten die Dialoge im Play Store, die beim Herunterladen oder Kauf einer App angezeigt werden, ein überarbeitetes Design.

Im Play Store soll auf Smartphones die Vorregistrierung und die automatische Installation in einem einzigen Schritt erfolgen, erklärt Google. Ebenso will Google Play mehr Benachrichtigungen über Challenges anzeigen. Solche Dinge lassen sich in der Regel bei Bedarf auch abstellen.

Die Neuerungen dürften im Laufe der kommenden Tage oder Wochen auf Android-Geräten verfügbar sein.

(afl)

In dieser Legislaturperiode soll nach den Wünschen der schwarz-schwarz-roten Bundesregierung eine Neuauflage der anlasslosen Massenspeicherung von Kommunikationsdaten kommen: Ende April hat sie den Gesetzenturf zur Vorratsdatenspeicherung beschlossen. Der Rechtsausschuss des Bundesrates hat gestern Empfehlungen vorgelegt, wie aus seiner Sicht die geplante Vorratsdatenspeicherung und weitere neue Datenspeicherungsvorschriften ganz erheblich ausgeweitet werden sollen.

Es geht um die generelle anlassunabhängige Speicherung von IP-Adressen von sämtlichen Kunden, die allen Internetdiensteanbietern durch das geplante Gesetz vorgeschrieben werden soll. Neben der IP-Adresse sieht der Gesetzentwurf vor, auch Zusatzinformationen bei den Providern festzuhalten: jeweils die Anschlusskennung, die zugehörige Nutzerkennung, das Datum mit einer sekundengenauen Start- und Ende-Uhrzeit der IP-Zuweisung zum Anschlussinhaber sowie die zugehörige Portnummer.

Die zu speichernde Datenmenge wird damit gegenüber den bloßen IP-Adressen erheblich vergrößert. All diese Informationen sollen von den Internetdiensteanbietern für ein vorgegebenes standardisiertes Abrufverfahren bereitgehalten werden.

Zwist um Speicherlänge

Bisher ist eine Speicherlänge von drei Monaten vorgesehen, die dem Rechtsausschuss des Bundesrats jedoch nicht weit genug geht. Er fordert eine Verdopplung auf sechs Monate. Schon ob die bisher geplanten drei Monate Speicherpflicht für IP-Adressen und Portnummern „das absolut Notwendige“ sind, auf die eine anlasslose Massenspeicherung nach dem jüngsten EuGH-Urteil zu begrenzen ist, wird stark in Zweifel gezogen. Nun soll nach Ansicht des Rechtsausschusses sogar ein halbes Jahr „absolut notwendig“ sein.

Eine solche Speicherpflicht ermöglicht es, Bewegungs- und Persönlichkeitsprofile aus den Daten zu gewinnen. Deswegen und vor allem wegen der unterschiedslosen Massensammlung der Daten aller Menschen wird seit Jahrzehnten heftig über die Vorratsdatenspeicherung gestritten.

Neues Rechtsinstrument Sicherungsanordnung

Strafverfolgungs- und Polizeibehörden sollen die Vorratsdaten künftig nutzen dürfen. Dazu kommen noch weitere „berechtigte Stellen“ wie Geheimdienste, aber auch Finanzbehörden und der Zoll. Eine strenge Begrenzung der Verwendungszwecke ist dabei nicht vorgesehen, was etwa der Deutsche Anwaltverein als europarechtswidrig einstuft.

Der Gesetzentwurf geht aber noch weiter: Er sieht neue sogenannte Sicherungsanordnungen für Internet-Zugangs-Anbieter und auch E‑Mail-Anbieter vor, die neben den Metadaten nun auch Standort- und Inhaltsdaten betreffen sollen. Dieses Verfahren ist als Quick Freeze bekannt. Der Rechtsausschuss fordert, dass auch sämtliche Länderpolizeien und alle Geheimdienste der Länder diese Daten abrufen dürfen.

Keine verpflichtenden Richtervorbehalte

Für die strafprozessualen Sicherungsanordnungen sind keine verpflichtenden Richtervorbehalte vorgesehen. Stattdessen soll die Staatsanwaltschaft sie bei einem Anfangsverdacht für maximal drei Monate anordnen und weitere drei Monate noch verlängern können. Bei Gefahr im Verzug soll sie sogar die Ermittlungsperson anordnen dürfen. Das hat dem Gesetzentwurf Kritik wegen des Prinzips der Gewaltenteilung eingebracht, weil eben kein Richter einen prüfenden Blick auf die Anordnung und auch nicht auf deren Verlängerung wirft. Für das Abrufen der Daten gilt hingegen der Richtervorbehalt.

Diese Sicherungsanordnungen für Verkehrs‑, Nutzungs- und Bestandsdaten sind ganz neue Rechtsinstrumente und umfassen deutlich mehr Daten als die anlasslose IP-Adressen-Speicherung. Sie schaffen die Möglichkeit der sofortigen Zuordnung der IP-Adressen zum Anschluss mitsamt des Kommunikationsprofils (Zeit, Ort, Dauer der Nutzung).

Die per Anordnung gesicherten Daten sollen anlassbezogen zur Strafverfolgung, aber auch zur Gefahrenabwehr genutzt werden dürfen. Die Gefahrenabwehr ist auch die Begründung des Rechtsausschusses, warum Länderpolizeien und die Geheimdienste der Länder eine Abruferlaubnis bekommen sollen: Sie seien „in erster Linie“ die zuständigen Gefahrenabwehrbehörden. Bisher sind das Bundeskriminalamt und die Bundespolizei als abrufende Behörden vorgesehen.