Netter Trick: Warnmeldungen in E-Mail-Clients mit HTML und CSS verstecken. Funktioniert besonders gut bei webbasierten Clients, die ihre Warnmeldungen entsprechend aufbauen. Der Exploit hat zur Folge, dass die E-Mail Clients keine Warnungen mehr anzeigen können, wenn z.B. ein Verdacht auf Phishing existiert.
Wenn sich nun die Nutzer der betroffenen E-Mail Clients auf diese Warnmeldungen verlassen, anstatt die Links, auf die sie klicken sollen, manuell zu prüfen, dann kanns krachen.
Mal wieder ein Beweisstück, warum es eine ganz eine schlechte Idee ist, sich bei der Bewertung von möglichen kriminellen Handlungen auf das Urteil von Software zu verlassen. In England wurden Mitarbeiter der Post verknackt, weil sie angeblich Geld geklaut hätten. War jedoch ein Softwarefehler mit falschen Berechnungen. Die Leute sind teilweise dafür ins Gefängnis gewandert.
Hab mich noch vor ein paar Tagen über die Kennzeichnungspflicht von Deepfakes aufgeregt, und die möglichen Ausnahmen davon. Hier habt ihr ein anschauliches Beispiel, wie unglaublich sinnvoll diese Kennzeichnungspflicht ist: Deepfake mit Nawalny im Kontext politischer Propaganda. Na, das haben die doch bestimmt gekennzeichnet?!
Den Schweinetrog Twitter könnt ihr euch auch gleich in die Haare schmieren, die unterdrücken Meinungsäußerungen zum Thema Corona. Es ist nicht erwünscht, dass sich jemand in Indien regierungskritisch äußert im Angesicht der Tatsache, dass dort nach aktuellem Stand apokalyptische Ansteckungsraten vorliegen - woran die dortige Regierung offenbar nicht ganz unschuldig ist, weil sie zu spät zu wenig getan hat.
Ich lästere ja gern über cloudbasierte Passwort-Manager, zum Beispiel Lastpass. Aber Probleme kann es natürlich auch mit "Offline"-Varianten geben, wie man hier sieht. Da wurde durch ein Auto-Update eine kompromittierte Version eingeschleust, die dann wiederum zu einem Zugangsdaten-Leak signifikaten Ausmaßes führte.
Was kann man hier dem Normalnutzer raten? Eigentlich sowas in der Art wie Autoupdates abschalten und vor einem manuellen Update etwas warten, ob sich Probleme auftun? Tja, im Falle von Betriebssystemen wird ja immer geraten: Updates sofort einspielen, weil da könnten ja sicherheitsrelevante Probleme behoben werden. Dilemma, Dilemma.
Nachtrag: Einen schiebe ich noch hinterher, ist mir vorhin über den Weg gesurft: Google will Hotword für die Aktivierung des Voice-Assistants abschaffen. Ihr wisst schon, was das bedeutet, oder? Das Zeug hat somit einen legitimen Grund, eure Gespräche noch länger und noch intensiver zu analysieren als ohnehin schon.
Bisher galt nach meiner Info wenigstens "offiziell" immer die Regel (zumindest bei Alexa): Das Hotword muss die Wanze selbst erkennen, ohne die Cloud anzufunken. Erst, was nach dem Hotword kommt, darf in der Cloud zur Analyse landen. Ohne Hotword wird das nicht mehr funktionieren, also müssen alle eure Gespräche permanent in der Cloud landen, sonst könnte Google ja gar keine Intents heraushören...