Schlagwort-Archive: Datenschutz

Privacy? Pustekuchen: Tracking per Batteriestand und Audio-Fingerprint

Schreibe eine Antwort

Man kann ja noch darüber streiten, ob die Grundidee der Werbeindustrie im Netz eigentlich super-schlau oder super-beknackt ist – nämlich uns “maßgeschneiderte” Angebote machen zu wollen. Nur wollen wir ja vielleicht auf einer Seite, die wir während der Arbeit ansteuern, während gerade der Chef neben einem steht, gar keine Werbung zu unserem pikanten, exotischen Hobby eingeblendet bekommen, auch wenn wir beim Spezialversender da vorgestern privat etwas angeguckt haben. Die eigentlich völlig geläufige Tatsache, dass wir in ganz unterschiedlichen Rollen online unterwegs sein können, die haben die Werbeheinis irgendwie nicht so ganz gecheckt.

Und deswegen versuchen sie uns überall zu verfolgen, zu identifizieren und aus dem möglichst kompletten Abgreifen unserer Surf- Kauf- und Suchhistory ein “komplettes” Persönlichkeitsbild zu erstellen. Irgendwie scheint die Strategie ja auch einen gewissen Erfolg zu haben, vielleicht eine Steigerung der “Conversion Rate” um ein paar Prozent – dass man dafür die Privatsphäre aller Internetnutzer verletzt; auch derer, die halt nicht auf die Werbung klicken oder mit Adblocker unterwegs sind – Kollateralschaden. Forscher der Princeton University haben einmal zusammengetragen, welches Ausmaß das Tracking mittlerweile hat und welche Methoden zum Einsatz kommen – ganz ausdrücklich appellieren sie auch an Medien und Aufsichtsbehörden, der Branche gegebenfalls auf die Finger zu klopfen.

Entdeckt haben sie “in freier Wildbahn” zwei neue Varianten des “Canvas Printing“, eine davon überträgt das Prinzip auf Audio-Dateien. Auch der Batteriestand von Mobilgeräten wird abgefragt, um User identifizieren – manche Seiten spekulieren offenbar sogar auf eine höhere Zahlungsbereitschaft von Surfern, denen in Kürze der Saft ausgeht. 🙂

Tracking: Sie wissen, wo du surfst · DRadio Wissen

DRadio Wissen – Hielscher oder Haase vom 03.08.2016 (Moderation: Diane Hielscher)

Smartphone hacken mit Sprachkommandos

Schreibe eine Antwort

Wer allen Ernstes zuhause im Wohnzimmer eine Dauerlausch-Einrichtung a la Amazon Echo, Google Home oder Apple Siri installiert (die ja möglicherweise demnächst auch noch dauerglotzt, wer gerade da ist und welchen Gesichtsausdruck der oder die macht…), ist ohnehin fest in der Post-Privacy-Sphäre verankert. Wobei die Sprachassistenzsysteme ja in gewissen Situationen durchaus ihre Berechtigung haben – etwa im Auto, wenn man beide Hände am Lenkrad braucht; oder wenn man gerade ein Baby wiederbelebt

Aber ganz ohne Zweifel wird das Geplauder und Assistieren nicht mehr aufzuhalten sein – da ist es doch schon wieder im Sinne eines kurzen Realitätschecks didaktisch wertvoll, wenn auch Hacker sich den neuen Kommunikationskanal zunutze machen und mit verzerrten Borg-Kommandos unterhalb der menschlichen Verständnisschwelle, aber sehr wohl oberhalb der des Gerätes akustisch Sand ins Getriebe streuen. Die ganze Sache klingt momentan noch etwas skurril – aber dass es wie üblich genügend Spaßvögel, Trolle und Ganoven geben wird, die das Voice-Hacken mal ausprobieren, das ist klar.

Vielleicht wird man (bzw. eben nicht man selbst, sondern der Personal Assistent in der Jackentasche…) ja demnächst im Gedränge von Werbeheinis angesprochen oder in der Fußgängerzone mit Megaphonen überfallen. Oder für das Radio wär das natürlich auch etwas, um schlagartig die Klickzahlen für die Homepage oder den Social-Media-Channel nach oben zu boosten.

Voicehack: Smartphone hacken mit Sprachkommandos · DRadio Wissen

DRadio Wissen – Hielscher oder Haase vom 13.07.2016 (Moderation: Till Haase)

Hartnäckige Werbe-Verfolger: Sound Beacons und Cross Device Tracking

Schreibe eine Antwort

Das Internet nutzen und trotzdem noch ein bisschen Privatsphäre bewahren – irgendwie scheint das ja völlig inkompatibel zu sein. Am PC haben wir uns quasi daran gewöhnt, dass Google, Facebook und halt die ganze Werbeindustrie uns um jeden Preis identifizieren und bei jedem Besuch wiedererkennen möchten – ob das immer so ganz legal und mit geltenden Datenschutzvorschriften kompatibel ist, das ist noch die andere Frage.

Nur surfen wir mittlerweile fast häufiger mit dem Smartphone und dem Tablet; und dass eine Person mehrere Geräte benutzen kann, ist ja zunächst einmal ein grauenvoller Albtraum für unsere fürsorglichen Werbe-Verfolger. Es wäre ja entsetzlich, wenn wir vielleicht auf unserem Dritt-iPhone nicht darüber informiert werden, dass die Autorin des Kinderbuches, das wir vor zwei Jahren der Tochter unserer besten Freundin geschenkt haben, ein neues Epos aus der lukrativen Welt der Pferdehof-Abenteuer veröffentlicht hat.

Zum Glück gibt es auch für das grässliche Problem mit den multiplen Werbeziel-Persönlichkeiten eine aparte technische Lösung – das Ganze nennt sich “Cross Device Tracking”; und die vielleicht ausgebuffteste Einzeltechnologie sind die “Sound Beacons”, die offenbar von den Anwendern unbemerkt schon in einer ganzen Reihe von Apps stecken

Anfang der Woche hat sich die FTC, die Federal Trade Commission mit dem “Cross Device Tracking” beschäftigt – man kann nur hoffen, dass die Behörde die Bedenken der Datenschützer ernst nimmt und zumindest eine Hinweispflicht (mit der Option, das geräteübergreifende Herumlauschen nicht zuzulassen…) vorschreibt…

DRadio Wissen – Schaum oder Haase vom 18.11.2015 (Moderation: Marlis Schaum)

Google hat Ärger in Frankreich, Facebook hat Ärger in Belgien

Schreibe eine Antwort

Die US-amerikanischen Unternehmen Google und Facebook auf der einen Seite, die europäischen Datenschützer und Wettbewerbshüter auf der anderen – ein nahezu epischer Kampf; mit österreichischen Galliern wie Max Schrems als treibenden Akteuren.

In Frankreich ist die Datenschutzbehörde CNIL nicht sonderlich angetan von Googles Praxis, Suchtrefferlöschungen nach Beschwerden jeweils nur in der nationalen Suchmaschinen-Version durchzuführen, nicht aber in der US-amerikanischen bzw. globalen Ausgabe.

In Belgien hat die BPC Ernst gemacht und Facebook wegen dessen Tracking-Cookies verklagt. In der ersten Anhörung vor Gericht sparten beide Kontrahenten nicht mit einer gewissen Theatralik: Facebook verhalte sich wie die NSA, so der Anwalt der Datenschutzbehörde. Bei einem Untersagen der Tracking-Cookies werde Belgien zur Wiege des Cyber-Terrorismus, so der Facebook-Anwalt.

Google und Facebook argumentieren ähnlich: Wieso meint eine nationale Datenschutzbehörde vorschreiben zu können, was dann auch für Nutzer in anderen Ländern der Welt gelten würde? Das ist einerseits nachvollziehbar; schließlich würde sich hierzulande auch keiner seine Internet-Nutzungsmodalitäten von “Gerichten” in Iran, Saudi-Arabien, Pakistan, China oder Nordkorea vorschreiben lassen wollen. Andererseits unterwerfen sich die betroffenen Unternehmen ja genau dort meist dann doch den dort geltenden Vorschriften, um im Geschäft zu bleiben.

Und so bietet sich das naheliegendste Kompromissmodell natürlich genau wie in diesen Konfliktfällen an – eine lokale Umleitung auf die landesspezifisch angepasste Version auf Basis der User-IP-Adresse. Dass ein paar technisch versierte Nutzer das dann mit Proxies umgehen könnten, das wiederum müssen die Datenschützer akzeptieren.

DRadio Wissen – Schaum oder Haase vom 22.09.2015 (Moderation: Till Haase)

Image-Kratzer bei Apple: Verseuchte Software im offiziellen App-Store

Schreibe eine Antwort

Sündenfall oder die erwartbare Landung auf dem Boden der Tatsachen? Zum ersten Mal hat es den offiziellen “App Store” von Apple so richtig erwischt: Dutzende, vielleicht sogar hunderte Progrämmchen dort sind mit Schadsoftware verseucht – obwohl das Unternehmen doch jede App und jedes Update prüft und dann erst freigibt.

Das ist diesmal wohl schiefgegangen – und ausgerechnet in Apps, die extrem populär sind, steckt Malware – wie etwa in der chinesischen WhatsApp-Alternative WeChat. Das Stichwort “China” liefert aber auch schon die Erklärung: Offenbar haben eine ganze Reihe von chinesischen Herstellern bzw. Programmierern ihre Apps nicht mit der offiziellen dafür vorgesehenen Software Xcode von Apple erstellt – sondern mit einer Xcode-Version von einem obskuren chinesischen Server – die “leider” mit der Schadsoftware XcodeGhost verseucht war.

Angesichts der Tatsache, dass das Original-Apple-Xcode für Entwickler gratis ist, klingt das absurd – aber es gibt eine plausible Erklärung: Die “Great Firewall”, die die chinesischen Zensoren um das Land gezogen haben, macht Netzverbindungen ins Ausland extrem langsam – da greift man halt gern auf schnellere Inlands-Quellen zurück. Keine gute Idee.

Apple hat das Problem inzwischen eingestanden und – jedenfalls “nach bestem Wissen und Gewissen” alle verseuchten Apps aus dem Store geschmissen. Anwender sollten die betroffenen Applikationen ebenfalls löschen bzw. die “sauberen” Updates einspielen – und “eigentlich” sollte man auch sicherheitshalber alle eventuell abgegriffenen Passwörter (iCloud? iTunes?) ändern, obwohl ja inzwischen der angebliche XcodeGhost-Programmierer die ganze Sache als Experiment bezeichnet hat und die erbeuteten Daten gelöscht haben will.

Auf jeden Fall ist das “Experiment” gründlich “geglückt”: Apples Nimbus ist lädiert und XcodeGhost liefert möglicherweise die Blaupause für kommende Angriffe auf iOS-Apps. Auch wenn Android mit seinen noch weniger kontrollierten Download-Quellen nach wie vor noch unsicherer ist 🙂 …

DRadio Wissen · Apple: Verseuchte Apps im offiziellen App-Store

DRadio Wissen – Schaum oder Haase vom 21.9.2015 (Moderation: Till Haase)

Deutschlandfunk: Apple – Verseuchte Software gelangt in den App Store

Deutschlandfunk – Forschung aktuell vom 21.9.2015 (Moderation: Monika Seynsche)

Google und Android-Hersteller wollen künftig schneller auf Sicherheitslücken reagieren

Schreibe eine Antwort

Im Moment hat Joshua Drake, der Entdecker der Stagefright-Sicherheitslücke seinen großen Auftritt auf der BlackHat-Konferenz. Vor Ort ist auch Adrian Ludwig, bei Google zuständig für die Android-Sicherheit. Und seine Ankündigung lässt aufhorchen – ab jetzt soll Schluss sein mit den schleppend eintrudelnden Android-Updates und den monatelang oder gar ewig offen stehenden Malware-Einfallstoren. Da musste eben erst etwas richtig fieses wie Stagefright kommen – darauf nicht zu reagieren würde Betriebssystem- wie Gerätehersteller tatsächlich ziemlich unseriös dastehen lassen. Für die Top-Geräte werden jetzt die Updates allmählich in Umlauf gebracht, in Deutschland hat die Telekom erst einmal die Notbremse gezogen und den MMS-Versand eingestellt.

Stagefright – Risiko für ungepatchte Android-Geräte ist nicht akzeptabel

Schreibe eine Antwort

Morgen wird der Entdecker der Stagefright-Sicherheitslücke, Joshua Drake, auf der BlackHat-Konferenz weitere Einzelheiten bekannt geben – den angekündigten Exploit hält er auf Bitten der Android-Gerätehersteller noch bis zur DevCon am 24.8. zurück. Das ist allerdings wahrscheinlich schon vergebliche Liebesmühe – es dürften nämlich mittlerweile Exploits kursieren. Auch wenn natürlich nicht sofort alle Android-Smartphones angegriffen werden: Das Risiko, dass das eigene angegriffen werden kann, ist nicht akzeptabel – nicht nur für Prominente, Politiker und Wirtschaftsbosse.

Vielleicht interessiert sich ja ein Ex-Lover dafür, was jetzt gerade so von Ihrer Smartphone-Kamera aufgezeichnet oder vom Mikrofon aufgenommen wird. Oder ein Kollege aus der Firma. Oder irgendein blödsinniger Troll aus einem Online-Forum.

Wer momentan mit einem Android-Gerät herumläuft, das noch kein Update erhalten hat (und das werden bis auf Nexus-Geräte praktisch alle sein – und zwar noch wochen- oder monatelang…), muss sofort den “automatischen MMS-Empfang” und Hangouts deaktivieren. Oder besser noch die Übermittlung von seinem Mobilfunk-Provider deaktivieren lassen – falls möglich.

Weil es für ältere Geräte auch überhaupt kein Update geben wird, ist hier die einzige Alternative zum Wegschmeißen die Installation einer alternativen Android-Distribution; z.B. CyanogenMod.

Mehr zu dem Thema (und auch zu der Frage, ob das Nachbessern einer so gravierenden Sicherheitslücke nicht unter die Gewährleistungspflicht der Geräte-Verkäufer bzw. Hersteller fällt…) am Samstag um 16.30 Uhr in C&K im DLF und am Sonntag im Computermagazin beim BR.

Wiener Gericht weist Sammelklage Europe-v-Facebook ab

Schreibe eine Antwort

Max Schrems, Jurastudent aus Wien (und mittlerweile Magister auf dem Weg zum Doktortitel…) hat naturgemäß keine tiefe innere Abneigung dagegen, Rechtsstreitigkeiten auch vor Gericht zu bringen. Facebook, dem Schrems laxen Umgang mit Nutzerdaten und europäischen Datenschutzvorschriften vorwirft, hat da allerdings eine recht elegante Abwehrstrategie: Es hält im Grunde offenbar kein Gericht irgendeines Landes für zuständig, wenn Nicht-US-User etwas zu mosern haben 🙂 … Das Landesgericht Wien hat sich jetzt dieser Argumentation angeschlossen – klagen dürfe Schrems in Österreich nur, wenn er als Verbraucher aufträte. Er habe aber Facebook auch geschäftlich genutzt.

Für Schrems und seine Anwälte ist das nicht stichhaltig – es lässt zudem völlig außer acht, dass sich ja zehntausende anderer Privatnutzer der Klage angeschlossen haben. Und so geht der Fall in die nächste Instanz – auch das ist Schrems ja schon aus dem anderen Beschwerdestrang bekannt, der es bis zum EuGH gebracht hat…

DRadio Wissen · Liveblog: NSA hört Bundesregierung ab – Großer Lauschangriff unter Freunden

DRadio Wissen – Schaum oder Haase vom 2.7.2015

P.S. Mittlerweile liegt auch das Urteil des Oberlandesgerichts Hamburg im Streit GEMA – YouTube vor, die hanseatischen Richter bestätigen den Spruch ihrer Kollegen in München insofern, als YouTube nicht grundsätzlich für die Urheberrechtsverletzungen seiner User hafte. Das Portal sei aber verpflichtet, nach Bekanntwerden einer Rechtsverletzung (vulgo: nach dem Bekanntwerden einer hochgeladenen “Raubkopie” 🙂 ) tätig zu werden und auch zumutbare Vorsorgemaßnahmen zu treffen.

Stress-Werte an den Arbeitgeber schicken?

Schreibe eine Antwort

Es ist alles gut gemeint, sagt Johann Huber, einer der Gründer des Start-Up-Unternehmens Soma-Analytics. Die von ihm und seinen Kommilitonen entwickelte App, die das Stresslevel eines Anwenders/einer Anwenderin anhand der Stimm-Modulation beim Telefonieren oder anhand der nächtlichen Bewegungen im Bett ermittelt, kann dabei helfen, das Gefühl für den eigenen Körper, für die eigene Befindlichkeit wieder zu bekommen oder zu entdecken – sie kann warnen, wenn da offenbar etwas schief läuft und auch gleich Tipps geben, was man dagegen tun könnte.

So weit, so gut – nur die Vermarktungs-Strategie, die die Entwickler wahrscheinlich auch aus nachvollziehbaren ökonomischen Gründen gewählt haben – nämlich die App als Monitoring-Tool für Arbeitgeber zu positionieren, die gibt reichlich Anlass zum Grübeln. Es mag ja Firmen geben, die einen Anstoß brauchen, um ihre internen Prozesse zugunsten ihrer möglicherweise gestressten Mitarbeiter zu optimieren – viel wahrscheinlicher ist aber, dass “Arschloch-Arbeitgeber” Daten wie aus der Soma-App dazu verwenden, um vermeintliche oder tatsächliche “Minderperformer” auszusortieren.

Wer wirklich sein Betriebsklima und auch die Performance seiner Mitarbeiter verbessern will, braucht nicht zwangsläufig ein digitales Monitoring-Tool. Einfach mal regelmäßig mit den Leuten sprechen und die Führungsqualitität “Empathie” einschalten hilft auch schon gewaltig… 🙂

DRadio Wissen · Soma: Stress messen am Telefon.

DRadio Wissen – Schaum oder Haase vom 24.04.2015

Interaktives-Web-TV: Do not Track

Schreibe eine Antwort

Ein Projekt, dass über die Gefahren des Identitäts-Trackings und den völligen Verlust der Privatsphäre im Netz aufklären will – bei dem man aber, um aufgeklärt zu werden, erst einmal jede Menge private (Netz-)Daten preisgeben muss. Klingt paradox, ist aber es aber dann doch nicht. Bei der nur im Web laufenden Dokureihe “Do not Track“, koproduziert von Arte, vom BR und dem National Filmboard of Canada, bekommt jede(r) Zuschauer(in) etwas anderes zu sehen – das, was nämlich jeweils eigene der Browser verrät oder was man der Website über die eigenen Lieblingsseiten, Handynutzung oder Social Media-Accounts mitteilt, wird “on the fly” in die Präsentation eingebaut.

Am Ende jeder der etwa 7-8 Minuten langen Episoden bekommt man Tipps, wie man sich gegen das soeben angesprochene Privacy-Problem zur Wehr setzen kann. Wer sich allerdings schon ein wenig mit der Materie beschäftigt hat, erfährt wenig neues – auch die interaktiven Elemente sind zumindest in den bis jetzt freigeschalteten ersten zwei Folgen letztlich recht sparsam dosiert. Und natürlich kann einen die “Do not Track”-Website als öffentlich-rechtliche Unternehmung auch nicht so schamlos ausspähen wie die realen Tracking-Sünder oder eine richtig bösartige Hacking-Seite.

DRadio Wissen · Liveblog: Malta schummelt beim EU-Bio-Siegel.

DRadio Wissen – Schaum oder Haase vom 15.4.2015