Die Redaktion präsentiert jeden Dienstag die Geschichten, die sie bewegt, aufgerüttelt oder zum Nachdenken angeregt hat. Heute u. a. mit europäischen Social Media, Apple-Zeugs und bücherlesender KI.
W Social, the new kid on the block
Nicht nur DNIP hat letzte Woche über W Social berichtet, der Start der öffentlichen Test-Phase führte zu einer ganzen Reihe von Publikationen und Social Media-Diskussionen. Insbesondere auf Social Media waren die Reaktionen eher kritisch bis ablehnend:
- Markus Reuter von Netzpolitik.org schreibt in „Warum W Social mehr kalter Kaffee als heißer Scheiß ist“ über die Probleme, welche die Identifizierungspflicht von W Social mit sich bringt und spekuliert darüber, inwiefern diese Pläne der EU-Kommission zur generellen Identifizierung von Online-Usern fördert.
- Elena Rossini, eine italienische Digitalaktivistin, untersucht in mehreren Blog-Posts das Geschäftsverhalten und die (fehlende) Transparenz von W Social, und stösst auf diverse Ungereimtheiten.
- Ben Werdmüller, der sich seit Jahrzehnten mit Social Media beschäftigt und für die Technik hinter dem Newsportal ProPublica verantwortlich ist, weist darauf hin, dass das Engagement der EU-Kommission für W Social im krassen Widerspruch zu den EU-Zielen bezüglich digitaler Souveränität und Open Source steht.
- Das Netzfeuilleton sieht die Möglichkeit, dass W Social zum Truth Social (dem faktisch gescheiterten Social Media-Projekt von Donald Trump) von EU-Präsidentin Ursula von der Leyen werden könnte.
- Sascha Pallenberg nimmt in seinem Podcast kein Blatt vor den Mund und macht schon mit dem Titel W Social – Zum Scheitern verurteilt! seine Meinung deutlich. (Hier in Textform.)
- Selbst bei Heise, welche gemäss Homepage von W Social eine Medienpartnerschaft mit dem Netzwerk haben, kann man in „W Social: Kurznachrichtendienst für per Ausweis verifizierte User vor Öffnung“ zwischen den Zeilen die eine oder andere Kritik herauslesen.
Zumindest im Social Media-Umfeld ist der Start von W Social also alles andere als geglückt. Dazu beigetragen hat mit einer undurchsichtigen und teilweise fehlenden Kommunikation insbesondere auch der Anbieter selbst: So wurde stillschweigend von einem Open Source- zu einem Closed Source-Modell gewechselt, in der obligatorischen Identitätsprüfung besteht ein Widerspruch zwischen dem auf der Webseite hochgehaltenen Datenschutz und der technischen Umsetzung und die W Identity-Lösung scheint aktuell nur ungenügend gesichert zu sein. Und auch wenn der Anspruch, eine Plattform für alle sein zu wollen, begrüssenswert ist, sorgen Aussagen wie „Auch Alice Weidel ist bei uns willkommen“ zwar für Aufmerksamkeit, aber nicht unbedingt für Vertrauen.
Generell scheint es der inhaltliche Mehrwert von W Social momentan nicht zu rechtfertigen, deswegen seine Identität überprüfen zu lassen und damit seine Online-Anonymität aufzugeben. Wer eine offene europäische Lösung sucht, ist mit Eurosky (als Bluesky-Alternative) und/oder Mastodon besser bedient.
Passwort ändern per KI
Apple hat an seiner Entwickler-Konferenz Anfang Juni nicht nur die neuen Versionen von macOS und iOS angekündigt, sondern auch eine neue Version ihrer KI-Assistentin Siri vorgestellt. Diese soll, nach einem ersten Flop vor zwei Jahren, nun endlich in der Lage sein, natürliche Sprache zu verstehen und im Auftrag des Benutzers Aktionen auf dem Mac oder dem iPhone ausführen können.
Eines der gezeigten Beispiele dreht sich darum, dass Siri neu auch Passwörter ändern kann (Youtube-Link). Konkret wird gezeigt, wie Siri für Logins mit schwachen oder gehackten Passwörtern auf die jeweilige Webseite zugreift, das Passwort ändert und das neue Passwort im Password-Manager abspeichert. Das ist auf den ersten Blick eine gute Idee, da Benutzer eher selten auf „Ihr Passwort ist schwach/wurde gehackt“-Hinweise reagieren.
Auf den zweiten Blick stellen sich aber dann doch einige Fragen. Selbst wenn man einer KI zutraut, selbständig eine Passwortänderung bei einem Online-Dienst anzustossen:
- Wie gut ist diese KI gegen „gefährlichen“ Input durch eben diesen Online-Dienst geschützt? Der Webauftritt des Online-Diensts kann ja ebenfalls gehackt worden sein und mittels Prompt Injection versuchen, Siri zu destruktiven Aktionen zu verleiten.
- Wie gut ist das neue Passwort innerhalb der KI geschützt? Es ist kaum möglich, ein Passwort zu ändern, ohne es zu kennen. Hier wäre sicherzustellen, dass das Passwort nicht in den Trainingsdaten von Apple oder nur schon in den Logfiles/Chat-Protokollen auftaucht.
- Was passiert im Fehlerfall? KIs neigen zu Halluzinationen und Fehlfunktionen, und KI-getriebene Passwort-Änderungen können durchaus auch mal fehlschlagen. Ist der Online-Account für den Benutzer dann noch zugänglich oder verliert er quasi seinen Zugriff? Wie kann sich der Benutzer in solchen Fällen wieder Zugang verschaffen?
Diese und weitere Problempunkte führt ein US-amerikanischer Sicherheitsforscher in einem Blogpost auf. Er kombiniert dies mit einer ganzen Reihe von Punkten, welche Apple klären bzw. offenlegen sollte, bevor man die Funktionalität aus Security-Sicht als „sicher“ einstufen kann. Ob und wie sich Apple hierzu äussern wird, ist noch offen. Aber bis Herbst (wenn die neue Siri verfügbar wird) ist ja auch noch Zeit. Und sonst kann man seine Passwörter nach wie vor selbst ändern (so man dran denkt).
Apple macht (halb) Schluss mit anonymen Email-Adressen
Wenn man sich bei Online-Diensten anmeldet, muss man das typischerweise mit einer Email-Adresse tun. Manche Dienste arbeiten zwar mit Benutzernamen, aber auch dort ist die Email-Adresse meist Teil der Profil-Daten. Das ist in vielen Fällen durchaus sinnvoll, und sei es nur für die Möglichkeit, ein allenfalls vergessenes Passwort zurücksetzen zu können. Verbunden ist das allerdings oft auch mit Nachteilen, darunter zum Beispiel
- vom Anbieter mit Newsletter und Produktangeboten überhäuft zu werden,
- dass Dritte durch Kombination von Profildaten mehrerer Anbieter Persönlichkeitsprofile erstellen (da die Email-Adresse ja immer dieselbe ist)
- unerwünschte Transparenz über Accounts und Angriffsversuche, falls der Anbieter von Hackern angegriffen wird.
Es gibt daher diverse Dienste im Web, welche temporäre Email-Adressen vergeben. Das ist für solche Situationen durchaus praktisch (auch wenn man unter Umständen auf die Möglichkeit verzichten muss). Der grosse Nachteil ist allerdings, dass man keine Garantie dafür hat, ob der Anbieter dieses Dienstes die eingehenden Emails nicht mitliest.
Auch Apple hatte vor einigen Jahren die Möglichkeit eingeführt, beliebige anonyme iCloud-Email-Adressen generieren zu können. Damit konnte man sich bei Webseiten anmelden, ohne seine echte Email-Adresse preisgeben zu müssen, und Apple sorgte im Hintergrund dafür, dass Emails zu/vom entsprechenden Anbieter im iCloud-Postfach landeten. Und im Gegensatz zu den diversen anderen entsprechenden Diensten konnte man sich bei Apple im Rahmen des Möglichen darauf verlassen, dass die eingehenden Mails nicht zweckentfremdet werden.
Bis anhin waren die von iCloud generierten anonymen Email-Adressen nicht von „echten“ Adressen zu unterscheiden: randomword_random_42@icloud.com oder fabienne.muster.84@icloud.com sehen beide gleichermassen echt aus. Nun hat Apple angekündigt, dass anonyme Adressen neu der Domain private.icloud.com zugeordnet werden (im obigen Beispiel also randomword_random_42@private.icloud.com vs. fabienne.muster.84@icloud.com). Der grosse Nachteil dieser Änderung ist, dass es für Anbieter von Online-Diensten damit ein leichtes wird, Benutzerregistrierungen zu verweigern, falls eine anonyme Email-Adresse verwendet wird.
Eine Begründung für diese Änderung hat Apple bisher nicht kommuniziert.
KI frisst alte Büchern
Wer darauf spekuliert hat, dass den KI-Unternehmen nach dem Abgrasen sämtlicher digitalen Datenquellen die Lerndaten ausgehen, muss umdenken. Wie SRF gestern berichtete, kaufen KI-Unternehmen Antiquariate leer und scannen die Bücher (nur um sie dann anschliessend wegzuschmeissen). Möglich macht das eine Fair Use-Regel im US-amerikanischen Urheberrecht. Dem Schluss des Artikels von SRF ist nichts hinzuzufügen:
Kurzfristig freuen sich Händler, ihre unverkauften Lagerbestände loszuwerden. Langfristig droht aber ein anderes Bild: Das klassische Antiquariat funktioniert als zirkulierende Bibliothek, in der alte Titel immer wieder in den Handel zurückkehren. Werden vergriffene Bücher nun im grossen Stil zu Altpapier vernichtet, konzentriert sich das analoge Erbe unwiederbringlich als exklusive Datenmasse in den Händen weniger Unternehmen – still, systematisch und bisher ohne öffentliche Debatte.
Bewirb dich für ’nen Job und werde gehackt
Roman Imankulov, ein in Spanien lebender Software-Entwickler, wurde auf LinkedIn von einer Stellenvermittlerin angesprochen. Im Verlauf des Bewerbungsprozesses wurde er gebeten, als Nachweis seiner Fähigkeiten in einem Github-Repository nach konkreten Fehlern in Bezug auf eine veraltete Node-Version zu suchen. Das ist ein Vorgehen, welches bei Bewerbungen für IT-Jobs durchaus üblich ist. Nichtsdestotrotz kam ihm, wie er in einem Blogpost beschreibt, am Vorgehen einiges eigenartig vor. Er setzte daher einen separaten Server auf, um das Code-Repository zu kopieren und zu untersuchen.
Und stiess dabei mithilfe einer KI-Code-Analyse auf eine raffinierte Angriffsmethode. Um die gestellte Aufgabe für die Fehlersuche erfüllen zu können, hätte er als erstes weitere Software-Teile nachinstallieren müssen. Und genau diese Installationsroutinen hatten die Angreifer gut versteckt derart manipuliert, dass es ihnen möglich gewesen wäre, während der Installation beliebigen Code mit den Rechten des Entwicklers auszuführen.
Im Blogpost empfiehlt Roman Imankulov, in ähnlichen Situationen lieber einmal zu vorsichtig zu sein, und entsprechende Massnahmen zu ergreifen. Separate Server sind schlussendlich schnell aufgesetzt und können vor grösseren Schäden schützen.
Und schliesslich:
- Der Artikel ist zwar vom letzten Jahr, aber fasst die Best Practice bei der Softwareentwicklung – nicht nur im JavaScript/Node.js/NPM-Ökosystem – gut zusammen: Der Heise-Artikel von Golo Roden, «npm als Sicherheitsrisiko: Warum Angriffe zunehmen und wie man vorbeugen kann» ist aktueller denn je. Jeder Entwickler, jede Firma sollte zumindest einen Grossteil dieser Empfehlungen umsetzen.
- Auch wichtig und aktuell, gerade wenn dieses Jahr die Anzahl Software-Updates aufgrund von erkannten Sicherheitslücken zunehmen: Wieso wir «Move fast and break things» falsch verstehen — und wie wir Software besser machen können hier bei uns auf DNIP von 2024, die Erklärung, wieso automatisierte Tests und andere automatisierte – und damit reproduzierbare, regelmässig getestete – Prozesse in der modernen Softwareentwicklung, Patch-Einspielerei und Server-/Cloudadministration unverzichtbar sind.
- Alec Muffett zu Social-Media-Verboten für Minderjährige: «Nehmt den Kindern nicht noch die letzte Gelegenheit, rumzuhängen und sich auszutauschen» (frei übersetzt). Siehe dazu auch die Aussage, dass Social-Media-Unternehmen ihre Verantwortung auch gegenüber Erwachsenen wahrnehmen sollten als sie wissentlich mit betrügerischer Werbung zu fluten und daran Milliarden zu verdienen.
- Wer den Überblick über die ganzen KI-Missbräuche und -Anschuldigungen in den deutschsprachigen Medien verloren hat: Reto Vogt gibt einen Überblick und ordnet ein.
- Der Weg ist frei für E-Collecting, die elektronische Unterschriftensammlung.
- Der französische Inlandgeheimdienst DGSI will laut Premier Lecornu Palantir durch ChapsVision ersetzen, schreibt Politico. Aus Sicht der Souveränität sicher ein unterstützenswerter Schritt. Ob das Ersetzen der einen riesigen Datensammlung durch eine unter anderem Namen den Datenschutz allerdings signifikant verbessert, bleibt fraglich.
Zitat der Woche
