Schwachstelle Client-IP in E-Mail-Headern?#

Lee Holmes „entdeckt“ die Client-IP des E-Mails-Senders und veröffentlicht einen Blogbeitrag, der das als problematische Schwachstelle bezeichnet. In den Kommentaren wäscht man ihm ordentlich den Kopf für die Entdeckung des Offensichtlichen und Gewollten. Aber… als Erinnerung, dass die IP des Geräts, von dem aus man seine E-Mails abschickt, in E-Mails vorhanden ist, taugt der Beitrag allemal. Dann halt also #awareness.

COVID-19, Tag 24: Entweder Locationtracking oder Quarantäne

Sonntag, 5. April 2020, Tag 24 der Maßnahmen gegen die Verbreitung des Coronavirus. Ab morgen, Montag, 6. April, ist das Tragen einer Mund- und Nasenschutzmaske in Supermärkten verpflichtend. Ich denke, dass das für viele die erste, tatsächlich den regulären Tagesablauf einschneidende Veränderung ist – und derer wird es, so mein Gefühl – in nächster Zeit ein paar mehr geben.

COVID-19, Tag 15: „Phase der neuen Normalität“

Freitag, 27. März 2020, Tag 15 der Maßnahmen gegen die Verbreitung des Coronavirus. Es war nur eine Frage der Zeit, bis die aktuell durch das Virus begründeten, „notwendigen Maßnahmen“ zu – ja, nennen wir sie so – „Features“ werden, die man, ist die technische Infrastruktur einmal aufgebaut, ja auch weiterhin gut nutzen kann.

Menstruations-Apps geben Daten an Facebook weiter#

Privacy International hat populäre Menstruations-Apps (diverse Period Tracker, Maya, MIA, Mobapp, My Period Tracker, Ovulation Calculator und Mi Calendario) unter die Lupe genommen und kommt zu einem katastrophalen Ergebnis.

Intimate details of the private lives of millions of users across the world are shared with Facebook and other third parties without those users’ free, unambiguous and informed or explicit consent, in the case of special-category (sensitive) personal data, such as data relating to a user’s health or sex life.

Es lohnt sich ganz besonders, den Artikel zu lesen, denn das Ausmaß, mit dem teilweise höchst private Daten mit Facebook (und anderen Werbepartnern!) geteilt werden, ist gigantisch. Immerhin, es lohnt sich für die Apps kommerziell, diese Daten weiterzuleiten, schlichtweg, weil der Werbewert einer schwangeren Frau so dermaßen hoch ist!

Before you start, MIA wants to know if you intend to use the app as a regular period tracker, or if you are trying to get pregnant and using it to maximise your chances. […] The moment you click on the icon to let the app know you are trying to get pregnant, you are immediately targeted with an ad for a premium version to of the app to help you conceive. The information is also shared with Facebook. […] The data of pregnant women is particularly valuable to advertisers: expecting parents are consumers who are likely to change to their purchasing habits. In the US for instance, an average person’s data is worth $0.10, while a pregnant woman’s will be $1.50.

Und es ist widerlich, was da abgeht; wirklich widerlich. Ich würde niemals einem Unternehmen meine Daten anvertrauen, das schon initial so problematisch damit umgeht, denn so eine Unternehmenskultur ist tief verwurzelt und wird sich nicht so schnell ändern, auch wenn das Unternehmen Besserung verspricht (siehe Artikel). „Einmal das Vertrauen gebrochen, nie wieder genutzt,“ sollte die Devise sein.

Jedenfalls bin ich froh, aber auch erstaunt, dass die Wienerin (!) über die Datenweitergabe berichtet hat. Gut so, großes Lob! Und hier habe ich ein Video vom Guardian gefunden, dass sich mit dem Thema „How period apps are making other people rich“ beschäftigt. – Das ist alles eine gute Sache und alle, die es betrifft, sollten sich sehr genau damit beschäftigen, wem sie welche Daten anvertrauen.

Private Fotos ungeschützt#

Wer die URL von Fotos oder Videos auf Facebook oder Instagram kennt, kann sich diese Medien ansehen, auch wenn sie gelöscht oder in einer als privat markierten Story genutzt wurden.

The hack […] requires only a rudimentary understanding of HTML and a browser. […] A user simply inspects the images and videos that are being loaded on the page and then pulls out the source URL. This public URL can then be shared with people who are not logged in to Instagram or do not follow that private user.

Private Instagram Posts Aren’t Exactly Private

Einmaleins des „Wie schütze ich Mediendateien?“. Lächerlich. Oder, wie es im Jahr 2019 eher dargestellt und verstanden wird: 🤦‍♂️.

Facebook fügt Bildern Trackingdaten hinzu#

Facebook – und so fängt mittlerweile jeder Artikel an, in dem es unschöne Überwachungs- und Trackingmaßnahmen geht – stattet Bilder mit Trackingdaten aus.

The take from this is that they can potentially track photos outside of their own platform with a disturbing level of precision about who originally uploaded the photo (and much more).

Edin Jusupovic, Twitter

Ich vermute, hier geht es eigentlich darum, zB den Re-Upload von problematischem Material schneller zu erkennen. Aber Facebook wäre nicht Facebook, gäbe es für solche Daten keinen Dual-Use.

Creepy Zoom-Software#

Jonathan Leitschuh hat eine gravierende Sicherheitslücke in Zoom (einer Skype-Alternative) gefunden. Mit dem Anklicken eines einfachen Links kann die Kamera eines Mac aktiviert werden. Schlimmer noch:

Additionally, if you’ve ever installed the Zoom client and then uninstalled it, you still have a localhost web server on your machine that will happily re-install the Zoom client for you, without requiring any user interaction on your behalf besides visiting a webpage. This re-install ‘feature’ continues to work to this day. Yep, no joke. This vulnerability leverages the amazingly simple Zoom feature where you can just send anyone a meeting link (for example https://zoom.us/j/492468757) and when they open that link in their browser their Zoom client is magically opened on their local machine.

Zum Glück gibt Jonathan Leitschuh im Artikel auch gleich genaue Anweisung, wie der lokale Server entfernt werden kann. – Warum muss Software für Audio- und Videoübertragung immer so dermaßen creepy sein? Und wer hat Zoom vor wenigen Tagen wegen eines Meetings installiert? Ja, wer?! Genau!

Aktualisierung am 11. Juli 2019
Sogar Apple hat sich eingeschaltet und ein Silent Update ausgespielt, um den von Zoom installierten Server zu entfernen. Das ist in Wirklichkeit gleichzusetzen mit Malware-Removal.

Track This#

Track This ist eine Website, die 100 Tabs im Browser öffnet, um Trackingfirmen mit widersprüchlichen Interessensgebieten zu füttern. Zur Auswahl stehen die Persönlichkeiten Hypebeast, Filthy Rich, Doomsday und Influencer. Wer also seinen Browser nicht datenschutzfreundlich konfiguriert hat, kann zumindest damit bei Trackern für Verwirrung sorgen.

myaccount.google.com/purchases#

Ich will hier nicht nur Facebook als so ziemlich das deklarierte Gegenteil von Datenschutz nennen, auch Google steht dieser Qualität um nichts nach. Wer Gmail nutzt, so der aktuelle Anlassfall, befüllt, wohl ohne es zu wissen, eine Sammlung an Käufen.

Google says it doesn’t use your Gmail to show you ads […] But, for reasons that still aren’t clear, it’s pulling [purchase] information out of your Gmail and dumping it into a „Purchases“ page most people don’t seem to know exists. Even if it’s not being used for ads, there’s no clear reason why Google would need to track years of purchases and make it hard to delete that information.

Meine Käufe-Seite war leer. Wie sieht es bei euch aus? (Und: FastMail, Leute, FastMail – hier mit Referral-Link.)

Produktscanner für bei Facebook hochgeladene Fotos

Aus einem Patent wurde bekannt, dass Facebook hochgeladene Fotos scannen, die darin abgebildeten Produkte erkennen, und diese Informationen verwerten will.

If a Facebook user snaps a selfie sipping a unicorn frap at Starbucks and then shares that selfie on Facebook or Facebook-owned Instagram, Facebook’s newly patented technology can theoretically scan the photo and spot the Starbucks cup […] Facebook can then sell that info to Starbucks, presumably alerting the coffee giant to the fact that you like its product, so it will buy ads on Facebook to sell you more Starbucks.