Am 12. Juli hat die Presse noch nicht offiziell bestätigt, dass Facebook mit der US-amerikanischen Federal Trade Commission
eine Vereinbarung über das Durchsickern von Benutzerinformationen getroffen hat. Das Hauptthema der FTC-Untersuchung waren die
Maßnahmen von Cambridge Analytica, die bereits 2015 Daten von zig Millionen Facebook-Nutzern erhielten. Facebook wird ein unzureichender Schutz der Privatsphäre der Nutzer vorgeworfen. Wenn die Nachrichten bestätigt werden, zahlt das soziale Netzwerk der US-amerikanischen Staatskommission die höchste Geldstrafe in der Geschichte in Höhe von 5 Milliarden US-Dollar.
Der Facebook- und Cambridge Analytica-Skandal ist das erste, aber keineswegs das letzte Beispiel für die Diskussion technischer Probleme mit völlig nichttechnischen Methoden. In dieser Übersicht werden wir einige aktuelle Beispiele für solche Diskussionen betrachten. Insbesondere, wie Fragen der Privatsphäre von Benutzern ohne Berücksichtigung der spezifischen Merkmale von Netzwerkdiensten erörtert werden.
Beispiel 1: Google reCaptcha v3Die neue Version des Google
Bot Control Tools reCaptcha v3 wurde
im Oktober 2018 eingeführt . Die erste Version von "captcha" von Google unterschied Roboter von Personen in der Texterkennung. Die zweite Version änderte den Text in Bilder und zeigte sie dann nur denen, die sie für verdächtig hielt.
Die dritte Version verlangt nichts und stützt sich hauptsächlich auf die Analyse des Benutzerverhaltens auf der Website. Jedem Besucher wird eine bestimmte Bewertung zugewiesen, auf deren Grundlage der Websitebesitzer beispielsweise eine Autorisierungsanfrage über ein Mobiltelefon erzwingen kann, wenn er die Anmeldung als verdächtig ansieht. Alles scheint in Ordnung zu sein, aber nicht ganz. Am 27. Juni veröffentlichte die Veröffentlichung von Fast Company einen langen
Artikel, in dem unter Bezugnahme auf zwei Forscher die Problembereiche von reCaptcha v3 in Bezug auf den Datenschutz identifiziert wurden.
Erstens wurde bei der Analyse der neuesten Version von CAPTCHA festgestellt, dass Nutzer, die in einem Google-Konto angemeldet sind, per Definition eine höhere Bewertung erhalten. Wenn Sie eine Website über ein VPN- oder Tor-Netzwerk öffnen, werden Sie mit größerer Wahrscheinlichkeit als verdächtiger Besucher markiert. Schließlich empfiehlt Google, reCaptcha auf allen Seiten der Website zu installieren (und nicht nur auf denen, auf denen Sie den Benutzer überprüfen müssen). Dies gibt weitere Informationen zum Benutzerverhalten. Mit derselben Funktion erhält Google theoretisch eine große Menge an Informationen zum Nutzerverhalten auf Hunderttausenden von Websites (laut Fast Company ist reCaptcha v3 auf 650.000 Websites installiert, mehrere Millionen verwenden frühere Versionen).
Dies ist ein typisches Beispiel für eine mehrdeutige Diskussion von Technologien: Einerseits sind sowohl Websitebesitzer als auch Benutzer umso besser, je mehr Daten ein nützliches Tool zur Bekämpfung von Bots enthält. Andererseits erhält der Dienstanbieter Zugriff auf eine große Auswahl an Daten und kontrolliert gleichzeitig, wer sofort zu digitalen Daten zugelassen werden soll und wer das Leben schwer macht. Befürworter maximaler Privatsphäre, die versuchen, keine unnötigen Cookies in ihrem Browser zu speichern und ständig VPNs verwenden, mögen diesen Fortschritt offensichtlich überhaupt nicht. Aus Sicht von Google gibt es kein Problem: Das Unternehmen behauptet, dass die Daten „captcha“ nicht für das Targeting von Werbung verwendet werden, und die Komplikation des Lebens für Bot-Fahrer ist ein guter Grund für solche Innovationen.
Beispiel 2: Datenzugriff in Android-AnwendungenEnde Juni hielt dieselbe US-amerikanische Federal Trade Commission eine PrivacyCon-Konferenz ab. Der Bericht des Forschers Serge Egelman widmete sich der Frage, wie Entwickler von Anwendungen für Android die Einschränkungen des Systems umgehen und Daten empfangen, die theoretisch nicht empfangen werden sollten. In einer
wissenschaftlichen Studie wurden 88.000 Anwendungen aus dem amerikanischen Google Play Store analysiert, von denen 1325 Systembeschränkungen umgehen konnten.
Wie machen sie das? Beispielsweise erhält die Fotoverarbeitungsanwendung von Shutterfly Zugriff auf Geolokalisierungsdaten, selbst wenn der Benutzer dies untersagt. Es ist ganz einfach: Die App verarbeitet Geotags, die in Fotos gespeichert sind, auf die der Zugriff offen ist. Der Vertreter des Entwicklers
bemerkt vernünftigerweise
, dass die Verarbeitung von Geotags eine Standardfunktionalität des Programms ist, das zum Sortieren von Fotos verwendet wird. Eine Reihe von Anwendungen umging das Verbot des Zugriffs auf die Geolokalisierung, indem sie die MAC-Adressen der nächstgelegenen Wi-Fi-Punkte scannten und so den ungefähren Standort des Benutzers bestimmten.
In 13 Anwendungen wurde eine etwas „kriminellere“ Methode zur Umgehung von Einschränkungen entdeckt: Eine App kann auf die IMEI des Smartphones zugreifen. Er speichert es auf einer Speicherkarte, von der andere Programme, die keinen Zugriff haben, es lesen können. So beispielsweise ein Werbenetzwerk aus China, dessen SDK in den Code anderer Anwendungen eingebettet ist. Durch den Zugriff auf IMEI können Sie den Benutzer für das nachfolgende Werbe-Targeting eindeutig identifizieren. Übrigens ist eine weitere Studie mit dem universellen Zugriff auf Daten auf der Speicherkarte verbunden: Die (theoretische) Möglichkeit der
Ersetzung von Mediendateien bei der Kommunikation in den Telegramm- und WhatsApp-Messenger wurde aufgedeckt. Infolgedessen werden die Datenzugriffsregeln in der neuen Version von Android Q
weiter verschärft .
Beispiel drei: Facebook-IDs in BildernVor ein paar Jahren konnte ein solcher Tweet bestenfalls eine technische Diskussion für ein paar Dutzend Beiträge auslösen, aber jetzt schreiben
Forbes-Blog-Beiträge darüber. Seit mindestens 2014
fügt Facebook den
IPTC- Metadaten von Bildern, die auf Facebook selbst oder in das soziale Netzwerk von Instagram hochgeladen werden, eigene Kennungen
hinzu . Facebook-Kennungen werden
hier ausführlicher besprochen, aber niemand weiß, wie genau das soziale Netzwerk sie verwendet.
Angesichts des negativen Hintergrunds der Nachrichten kann dieses Verhalten als "eine andere Möglichkeit zur Überwachung von Benutzern interpretiert werden, aber wie ist es, wenn sie es könnten". Tatsächlich können die Bezeichner in den Metadaten beispielsweise für Teppichverbote für illegale Inhalte verwendet werden, und Sie können nicht nur Reposts innerhalb des Netzwerks blockieren, sondern auch Skripte, mit denen das Bild heruntergeladen und erneut hochgeladen wurde. Eine solche Funktionalität kann nützlich sein.
Das Problem der öffentlichen Diskussion von Datenschutzfragen besteht darin, dass die tatsächlichen technischen Merkmale eines Dienstes häufig ignoriert werden. Das aussagekräftigste Beispiel: eine Diskussion über Hintertüren der Regierung in Verschlüsselungssystemen für Instant Messenger oder Daten auf einem Computer oder Smartphone. Wer sich für einen störungsfreien Zugang zu verschlüsselten Daten interessiert, spricht von der Verbrechensbekämpfung. Verschlüsselungsexperten haben argumentiert, dass die Verschlüsselung auf diese Weise nicht funktioniert und die absichtliche Schwächung kryptografischer Algorithmen
sie für alle anfällig macht . Aber zumindest sprechen wir von einer wissenschaftlichen Disziplin, die mehrere Jahrzehnte alt ist.
Was ist Datenschutz, welche Art der Kontrolle über unsere Daten ist erforderlich, wie kann die Einhaltung solcher Standards überwacht werden? Auf all diese Fragen gibt es keine allgemeine, klare Antwort. In allen Beispielen in diesem Beitrag werden unsere Daten für einige nützliche Funktionen gesammelt. Dieser Vorteil gilt jedoch nicht immer für den Endbenutzer (häufiger für den Werbetreibenden). Wenn Sie sich jedoch auf Ihrem Heimweg Staus ansehen, ist dies auch das Ergebnis der Erfassung von Daten über Sie und Hunderttausende anderer Personen.
Ich möchte den Beitrag nicht mit einer dummen Schlussfolgerung beenden: "Es ist nicht so einfach." Versuchen wir es also so: Je weiter, desto häufiger müssen Entwickler von Programmen, Geräten und Diensten nicht nur technische Probleme lösen ("wie es funktioniert"), sondern auch sozial politisch („wie man keine Geldstrafen zahlt, sich keine verärgerten Artikel in den Medien vorliest und nicht den Wettbewerb mit anderen Unternehmen verliert, bei denen es zumindest in Worten mehr Privatsphäre gibt“). Wie wird sich die Branche in dieser neuen Realität verändern? Werden wir mehr Kontrolle über die Daten haben? Wird sich die Entwicklung neuer Technologien aufgrund des „öffentlichen Drucks“ verlangsamen, der Zeit und Ressourcen erfordert? Diese Entwicklung werden wir beobachten.
Haftungsausschluss: Die in dieser Übersicht geäußerten Meinungen stimmen möglicherweise nicht immer mit der offiziellen Position von Kaspersky Lab überein. Sehr geehrte Redakteure empfehlen generell, Meinungen mit gesunder Skepsis zu behandeln.