Die letzte Podcastfolge drohte überzulaufen, also haben Christopher und Sylvester zwei Themen in diese Bonusfolge ausgelagert. Es geht um Keenadu, Bluehammer, unDefend und Redsun.

Ersteres ist eine bemerkenswert flexible Malware, die Android-Geräte befällt – oder sogar schon vorinstalliert mit dem Gerät ausgeliefert wird. Sylvester erklärt, welche Tricks Keenadu auf Lager hat und warum eventuell die Telekom warnt, wenn man betroffen ist. Internetprovider helfen, so manche Malware einzudämmen; bestenfalls kann der eigene ISP sogar konkrete Hinweise geben, welche Geräte im heimischen IT-Zoo betroffen sind. Die Hosts erörtern, woher die ISPs das wissen können und was man am besten macht, wenn man eine unerwartete Warnmail in der Inbox findet.

Im zweiten Teil der Episode erzählt Christopher von blauen Hämmern, roten Sonnen und von UnDefend. Das sind bemerkenswerte Exploits für Microsoft Windows, die zumindest teilweise bemerkenswert lange ungepatch blieben. Christopher ließ das auch nach Aufzeichnung der Folge keine Ruhe.

Die Exploits sind aber auch technisch interessant und offenbar von viel Drama getrieben: Der Urheber wird im ehemaligen Microsoft-Umfeld vermutet, jedenfalls hält er wohl sehr wenig von Microsofts Security Response Center; da scheint viel böses Blut im Spiel zu sein.

Die aktuelle Folge von „Passwort – der Podcast von heise security“ steht seit Mittwochmorgen auf allen Plattformen zum Anhören bereit.

(syt)

Im Chrome-Browser für Android können Nutzerinnen und Nutzer künftig wählen, ob sie ihren ungefähren Standort an Webseiten weitergeben möchten, statt ihren präzisen Standort preiszugeben. Auch für die Desktop-Version soll diese Option in den kommenden Monaten Einzug halten.

Das Teilen von standortbezogenen Daten ist nützlich, etwa wenn man nach dem Wetter schaut, einen Fahrdienst ruft oder Essen bestellt. Doch nicht jeder Dienst und jede Webseite erfordern die genauen Standortdaten. Wenn man sich über die lokale Wettervorhersage oder Nachrichten aus der Region informieren will, reicht eine ungefähre Ortsangabe völlig aus.

Im Chrome-Browser auf Android konnten Nutzer bislang über ein Pop-up-Fenster nur ihren präzisen Standort mitteilen. Wie Google in einem Blogbeitrag mitteilt, will das Unternehmen Nutzern Kontrolle über ihre Standortdaten an die Hand geben. Neben der neuen Option des ungefähren Standorts könne man je nach Bedarf weiterhin den genauen Standort weitergeben.

Neue Schnittstellen für Entwickler

Weiter plant Google die Veröffentlichung neuer Schnittstellen (API) für Webentwickler, mit denen diese den ungefähren Standort abfragen oder angeben können, ob sie den genauen Standort benötigen. „Wir empfehlen Entwicklern, ihre Standortanforderungen zu überprüfen und den genauen Standort nur dann abzufragen, wenn dies für die Funktionalität der Website erforderlich ist“, erklärt Google.

Nutzer können übrigens seit Android 12 die Standortfreigabe in den App-Einstellungen („App-Info“) festlegen. Hier besteht entweder die Möglichkeit, den Standort komplett zu verwehren, den präzisen Ort mitzuteilen oder nur den ungefähren Standort zu verraten. Zudem lässt sich einstellen, dass Apps die Standortinformationen nur dann erhalten, wenn man sie aktiv verwendet.

Mehr mit Android 17

Die im Grunde überfällige Neuerung im Chrome-Browser folgt auf bereits erfolgte Ankündigungen rund um den Datenschutz in Android 17: Das bald erscheinende große Android-Update enthält eine Reihe von Verbesserungen zum Schutz der Standortdaten. Unter anderem erhalten Apps eine neue „Standort-Schaltfläche“, mit der Nutzer Anwendungen den Zugriff auf ihren genauen Standort gewähren können. Wenn ein Nutzer auf die neue Schaltfläche tippt, erhält die App nur für die aktuelle Sitzung Zugriff auf den genauen Standort.

(afl)

Die Bundesdatenschutzbeauftragte hofft, dass „die anlasslose und massenhafte Chatkontrolle hoffentlich endgültig vom Tisch“ ist. Das schreibt Louisa Specht-Riemenschneider in ihrem heute veröffentlichten Jahresbericht. Sie und andere Datenschutzaufsichtsbehörden kritisieren das Brechen von Ende-zu-Ende-Verschlüsselung und das verpflichtende Scannen von Nachrichten, das sogenannte Client-Side-Scanning.

Specht-Riemenschneider weiter: „Eine Chatkontrolle – also anlasslose Massenüberwachung gleichsam aller Bürgerinnen und Bürger – wäre in einem Rechtstaat beispiellos und schießt deutlich über das legitime Ziel (Bekämpfung sexualisierter Gewalt gegen Kinder und Jugendliche) hinaus.“

Trotz leichter Verbesserungen in der Rats-Position gäbe es weitere kritische Punkte bei dem EU-Gesetzesvorhaben. Neben der eigentlichen Chatkontrolle hat die Bundesdatenschutzbeauftragte hier unter anderem „pauschal verpflichtende Altersprüfungen in App-Stores“ im Auge, diese seien auszuschließen. „Solche Methoden können nur konkret risikoangemessen und datenminimiert eingesetzt werden, was einer pauschalen Vorschaltung entgegensteht“, heißt es weiter.

Datenschutzrechtliche Rechtsgrundlage fehlt

Auch eine freiwillige Chatkontrolle sieht Specht-Riemenschneider kritisch: „Für das von der CSA-Verordnung vorgesehene freiwillige CSAM-Scannen als Ausnahme vom Grundsatz der Vertraulichkeit der Kommunikation fehlt es an einer datenschutzrechtlichen Rechtsgrundlage. Eine solche ist bisher nicht in den Vorschlägen enthalten, aber aus meiner Sicht zwingend erforderlich.“ CSAM ist ein Sammelbegriff für Darstellungen und Inhalte sexualisierter Gewalt gegen Kinder.

Zudem würden durch die Einrichtung eines EU-Zentrums und Berichtspflichten an dieses Anreize für Diensteanbieter geschaffen, Chatkontrollen als faktisch verpflichtend anzusehen und durchzuführen. Dies könnte laut Specht-Riemenschneider dazu beitragen, dass Diensteanbieter ohne Rechtspflicht eingriffsintensivere Technologien entwickeln und verwenden. Ihre bisherige Kritik an diesen Technologien, wie zum Beispiel Client-Side-Scanning und Brechen der Ende-zu-Ende-Verschlüsselung, bleibe bestehen.

Specht-Riemenschneider warnt davor, dass derart intensive Eingriffe auf freiwilliger Basis „besonders kritisch“ seien. Nicht zuletzt bestünde das Risiko von doppelten Meldestrukturen, die eine effektive Strafverfolgung behindern könnten.

Anlasslose Chatkontrolle endgültig aufgeben

Bereits gestern hatte sich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zum Thema zu Wort gemeldet. Die Datenschützer appellierten in einer Entschließung an die Gesetzgebungsorgane der Europäischen Union sowie an die Bundesregierung, Pläne für eine anlasslose Chatkontrolle endgültig aufzugeben. Anlass dafür sei die voraussichtlich am 11. Mai beginnende vierten Verhandlungsrunde (Trilog) über die geplante EU-Verordnung zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern.

In ihrer jüngsten Entschließung wiesen die Datenschützer:innen zum wiederholten Male darauf hin, dass die anlasslose Chatkontrolle, also die flächendeckende Überwachung der privaten Kommunikation auf Messenger-Diensten, das Brechen der Ende-zu-Ende Verschlüsselung und auch die Umgehungen einer solchen durch Client-Side Scanning unverhältnismäßige Grundrechtseingriffe seien und Millionen Europäerinnen und Europäer unter Generalverdacht stellen würden.