In dieser Ausgabe von AdGuards Digest: Amerikaner:innen wollen die Kontrolle über ihre Daten zurück, Reddit wurde gehackt, Forscher:innen beweisen, dass KI eine Bedrohung für die Privatsphäre ist, die US-Regierung will, dass Apples Ökosystem sich öffnet, und Cyberkriminelle haben mit Hilfe von Google-Suchanzeigen auf Amazon abgesehen.

Amerikaner:innen sind über Privatsphäre besorgt, wissen aber nicht, wie sie diese schützen

Die Mehrheit der Amerikaner:innen möchte kontrollieren, was Vermarkter über sie wissen können. Sie glauben aber nicht, dass sie das machen können, und haben kaum eine Vorstellung davon, welche Instrumente sie zum Schutz ihrer Daten nutzen können. Laut einem aktuellen Bericht von Annenberg School for Communication an der Universität von Pennsylvania halten es 80% der Amerikaner:innen für „naiv“ zu glauben, dass sie ihre persönlichen Daten zuverlässig vor Vermarkter schützen können.

Gleichzeitig lehnt die überwältigende Mehrheit der Amerikaner:innen den Status quo ab, „kostenlose Dienste“ oder etwas Wertvolles im Austausch für ihre persönlichen Daten zu erhalten. 88% sind nicht damit einverstanden, dass Unternehmen ohne ihr Wissen Informationen über sie sammeln dürfen, um dafür einen Rabatt zu erhalten. 61% halten es nicht für richtig, dass Geschäfte unter dem Vorwand, ihren Service zu verbessern, detaillierte Profile erstellen. Und 68% sind der Meinung, dass die Geschäfte das Online-Verhalten der Kund:innen nicht über das WLAN in den Geschäften überwachen sollten. Die Forscher:innen fanden auch heraus, dass viele Befragte nicht genau wissen, wie das Tracking funktioniert. So glauben 45% fälschlicherweise, dass ein Anbieter von Smart-TVs den Werbetreibenden nicht dabei helfen kann, auf der Grundlage des Fernsehverhaltens der Nutzer:innen Werbung auf deren Smartphones zu senden.

Die Ergebnisse deuten darauf hin, dass die Amerikaner:innen zunehmend besorgt darüber sind, dass ihre Daten ohne ihre ausdrückliche Erlaubnis gesammelt werden. Sie sind jedoch verwirrt darüber, wie weit die Werbetreibende reichen können. Sie weisen auch darauf hin, dass die Menschen nicht mehr akzeptieren, dass sie mit ihren Daten für die Nutzung eines „kostenlosen Dienstes“ bezahlen müssen. Diese Änderung der Einstellung ist ermutigend und wird hoffentlich zu einer Änderung der Art und Weise führen, wie Werbetreibende und insbesondere Big Tech die Nutzer:innen behandeln. Wir argumentieren seit langem, dass unsere persönlichen Daten entgegen der weit verbreiteten und irrigen Meinung nicht wertlos sind. Vielmehr sind sie eine heiße Ware auf dem Datenmarkt, mit der große Unternehmen enorme Gewinne erzielen. Und es ist nur fair, die Kontrolle darüber zurückzuerlangen.

Hacker haben Reddit angegriffen und den Quellcode gestohlen

Reddit, die berühmte Internetseite mit über 50 Millionen Nutzer:innen, wurde durch einen Phishing-Angriff seines Quellcodes und interner Dokumente beraubt. Der Angriff fand am 5. Februar statt, wobei die Hacker Reddit-Mitarbeiter:innen mit „glaubwürdig klingenden Aufforderungen“ auf einen Klon des Reddits, dem privaten Netzwerk des Unternehmens, locken wollten. Der CTO von Reddit, Christopher Slowe, enthüllte, dass ein Angestellter auf den Trick hereingefallen war, was es den Hackern ermöglichte, seine Anmeldedaten zu stehlen und Zugriff auf den Code des Unternehmens, einige interne Dokumente sowie einige interne Dashboards und Geschäftstools zu erhalten. Slowe enthüllte auch, dass „begrenzte Kontaktinformationen“ von Hunderten von Reddit-Mitarbeitern und Kontakten offengelegt wurden. Reddit versicherte jedoch, dass die Passwörter und Konten der normalen Nutzer:innen bisher „sicher“ seien.

Dennoch forderte Slowe die Nutzer:innen auf, die Zwei-Faktor-Authentifizierung zu aktivieren, um ihre Konten besser zu schützen, ihre Passwörter alle paar Monate zu ändern und Passwortmanager zu verwenden. Dies sind einige der Grundregeln der digitalen Hygiene, die jeder befolgen sollte. Weitere Informationen finden Sie in unserem Spickzettel zur digitalen Hygiene. Es ist bedauerlich, dass wieder einmal ein Unternehmen gehackt wurde und sich der Mensch als schwächstes Glied im System erwiesen hat. Das Einzige, was wir tun können, um solche Vorfälle zu verhindern, ist, die Mitarbeiter:innen über diese Art von Angriffen zu informieren, damit sie potenzielle Warnsignale erkennen und sie über die Regeln der Cybersicherheit aufklären können.

KI-Bildgeneratoren können Trainingsbilder „reproduzieren“, aber es gibt einen Haken

Unser Digest wäre nicht vollständig ohne das Schlagwort der Stunde: KI und ihre Modelle. Ein bunt gemischtes Team von Forschern von Google, DeepMind, UC Berkeley, Princeton und der ETH Zürich hat herausgefunden, dass KI-gestützte Bild-zu-Text-Generatoren wie Stable Diffusion und Google Imogen sich Bilder aus ihren Trainingsdaten merken können. Vereinfacht ausgedrückt bedeutet dies, dass diese überlebensgroßen Modelle, die auf riesigen Mengen öffentlich zugänglicher Daten trainiert werden, in der Lage sind, ein Bild zu erzeugen, das fast identisch mit einem ist, das sie einmal abgegriffen haben.

Quelle: Extrahierung von Trainingsdaten aus Diffusionsmodellen, Carlini et al.

Wenn man bedenkt, dass die Personen, deren Bilder als Übungsmaterial für diese Modelle dienen, niemals ihre Zustimmung zu diesem Zweck gegeben haben, stellt dies ein ernsthaftes Risiko für die Privatsphäre dar. Stellen Sie sich vor, dass Ihr Bild (nun ja, nicht Ihres, aber eines, das identisch mit Ihrem aussieht) verwendet wird, um ein fragwürdiges Produkt zu bewerben, und Sie können nichts dagegen tun?

Der Haken ist, dass die Chancen, dass Ihr Bild von der KI reproduziert wird, derzeit recht gering sind. Die Forscher:innen, die 350.000 der am häufigsten duplizierten Bilder im Stable Diffusion-Datensatz testeten, fanden nur 94 direkte Übereinstimmungen und 109 Beinahe-Übereinstimmungen mit den Trainingsdaten (0,03 %). Die Zahl für Google Imogen war etwas höher — 2,3 Prozent. Der Forscher Eric Wallace merkte jedoch an, dass diese Zahlen zwar gering erscheinen mögen, künftige (und größere) Diffusionsmodelle „sich mehr merken“ und somit ein größeres Risiko für die Privatsphäre darstellen werden. Die Bedrohung der Privatsphäre durch KI ist real, und wir haben auch davor gewarnt. Im Moment können wir nur wenig tun, um uns vor dieser Bedrohung zu schützen, außer weniger persönliche Daten online zu teilen.

US-Regierung greift Big Tech an und will, dass Apple Sideloading-Apps erlaubt

Nach der EU hat auch die US-Regierung die Gesetzgeber aufgefordert, Gesetze zu verabschieden, die die Dominanz von Apple und Google auf dem App-Store-Markt einschränken würden. Die National Telecommunications and Information Administration (NTIA) des US-Handelsministeriums hat einen Bericht veröffentlicht, in dem es heißt, dass die so genannten Gatekeeper „unnötige Hindernisse und Kosten für App-Entwickler schaffen, die von Gebühren für den Zugang bis hin zu funktionalen Einschränkungen reichen, die einige Apps gegenüber anderen bevorzugen“. Sowohl Google als auch Apple verlangen bis zu 30% Provision für In-App-Käufe und verlangen, dass Apps Prüfverfahren durchlaufen. Die NTIA beschrieb letztere als „langsam und undurchsichtig“.

Der Bericht zielte auch auf das Argument von Google und Apple ab, dass alle Einschränkungen, die sie Entwickler:innen und Nutzer:innen auferlegen, der Verbesserung der Sicherheit dienen. „In einigen Bereichen, wie z. B. bei In-App-Zahlungen, ist unklar, wie das derzeitige System jemand anderem als Apple und Google nützt“, so die NTIA. Letztendlich leiden die Nutzer:innen unter „überhöhten“ Preisen, mangelnder App-Auswahl und fehlender Innovation, so die Schlussfolgerung der Beamten. Die NTIA empfiehlt dem US-Kongress die Verabschiedung von Gesetzen, die die Gatekeeper dazu verpflichten, den Nutzer:innen das Sideloading von Apps (das auf dem iPhone derzeit nicht möglich ist) und die Verwendung alternativer Zahlungsmethoden zu ermöglichen.

Es ist an der Zeit, dass jemand anderes als die EU die Vorherrschaft von Google und Apple auf dem App-Store-Markt in Frage stellt. Der Druck der Regulierungsbehörden zwingt Apple bereits dazu, sein geschlossenes Ökosystem in der EU zu öffnen, und wir wünschen uns, dass dies überall geschieht.

Cyberkriminelle nutzen „gefälschte“ Google-Anzeige, um Zugangsdaten für Amazon zu stehlen

Sowohl wir als auch das FBI haben bereits vor den Gefahren von Google-Suchanzeigen gewarnt, die von Imitatoren bekannter Unternehmen geschaltet werden. Und trotz der Zusicherungen von Google, dass es gegen bösartige Anzeigen vorgeht, ist die Bedrohung leider nicht verschwunden. Dieses Mal hatten es die Cyberkriminellen auf Kunden von Amazon Web Services abgesehen, der Tochtergesellschaft von Amazon mit mehr als 1 Million aktiven Nutzer:innen, darunter viele kleine und mittlere Unternehmen. Laut einer Untersuchung des Cybersicherheitsunternehmens SentinelOne erstellten böswillige Täter eine Phishing-Website, die wie die AWS-Anmeldeseite aussah, und schalteten in der Google-Suche eine Anzeige, die direkt unter der legitimen Anzeige der Plattform erschien.

Bildquelle: SentinelOne

Die „vergiftete“ Anzeige führte zunächst auf die eigentliche Phishing-Domain, die die Angreifer dann aber durch einen Proxy ersetzten, der eine Kopie eines legitimen Süßwarenblogs war. Nachdem der Nutzer auf die Anzeige geklickt hatte, lud die Seite eine zweite Domain, die zu einer gefälschten Anmeldeseite weiterleitete. Dies geschah vermutlich, um eine Erkennung durch die Betrugsbekämpfungsmechanismen von Google zu vermeiden. Um den Benutzer weiter zu verwirren, wurde eine legitime AWS-Anmeldeseite angezeigt, nachdem der Benutzer seine Anmeldedaten in ein gefälschtes Formular eingegeben hatte. Die Forscher:innen stellen fest, dass solche Angriffe mit Hilfe von Google-Suchanzeigen leicht zu starten sind und daher eine „ernste Bedrohung“ für normale Benutzer:innen sowie Netzwerk- und Cloud-Administratoren darstellen. Wir schließen uns dieser Einschätzung voll und ganz an.

Eine Lösung für dieses Problem besteht darin, sich dieser Art von bösartiger Werbung von vornherein bewusst zu sein und Werbeblocker zu verwenden, wie z. B. die AdGuard-Browsererweiterung und die AdGuard-App. Wenn Sie die AdGuard-Erweiterung verwenden, aktivieren Sie die Einstellung „Suchanzeigen blockieren“, um Suchanzeigen nicht zu sehen. Stellen Sie bei AdGuard-Apps sicher, dass Sie das Kontrollkästchen „Suchanzeigen und Eigenwerbung nicht blockieren“ nicht markiert haben.