Es gibt neue Details zur Auswertung abgehörter Messenger-Nachrichten bei Facebook. Facebook hat laut dem Datenschützer Caspar die Sprachnachrichten von fünf Anwendern aus Deutschland angehört und abgeschrieben, obwohl die entsprechende Transkriptionsfunktion in Deutschland gar nicht verfügbar ist.

Wütend, krank oder traurig: Durch unsere Stimme bekommen Sprachassistenten mehr Informationen als nur den Sprachbefehl. Forschern ist es gelungen, die Emotionen aus Audioaufnahmen zu filtern - die Spracherkennung leidet allerdings darunter.

Über eine Sicherheitslücke im Lenovo Solution Centre lassen sich die Rechte eines Nutzers oder einer Schadsoftware ausweiten. Lenovo wird die Lücke nicht schließen und rät zur Deinstallation - dabei hat der Hersteller mehrfach das Supportende geändert.

Eine Umfrageseite des Bayerischen Roten Kreuzes hatte den Trackingservice Facebook Pixel eingebunden - und dabei nicht bedacht, wie invasiv dieser Service ist. Jeder Klick auf einen Button wird aufgezeichnet. Facebook konnte so erfahren, ob ein Nutzer HIV hat oder Drogen konsumiert.

Nutzer von Apples mobilen Betriebssystemen haben gegebenenfalls eine Update-Benachrichtigung auf ihren Geräten. Apple hat sowohl für die Apple Watch als auch für iPhone, iPod Touch und iPad ein neues Betriebssystem freigegeben. Unter iOS wird dabei auch eine Sicherheitslücke geschlossen.

Google möchte mit neuen Techniken zum Schutz der Privatsphäre im Chrome-Browser personenbezogene Werbung und Datenschutz ausgleichen. Nebenbei erklärt das Unternehmen, warum das Blockieren von Cookies schlecht für die Privatsphäre ist.

Bevor Apple die Auswertung von Siri-Sprachdateien gestoppt hat, mussten Mitarbeiter in Irland teilweise bis zu 1.000 Audio-Schnipsel pro Schicht auswerten. Meist handelte es sich nur um Sprachkommandos, manchmal waren aber auch persönliche Informationen darunter.

Ein europäischer Fluggast hat gegen das BKA geklagt: Dieses solle seine Fluggastdaten nicht speichern, verarbeiten und übermitteln. Das Verwaltungsgericht Wiesbaden lehnte die Klage jedoch mit dem Verweis auf andere Datensammlungen ab.

Erst hat Valve eine Sicherheitslücke in Steam nicht anerkannt, dann sollte sie vertuscht werden. Nach ihrer Veröffentlichung wurde sie unzureichend gepatcht und der Entdecker vom Bug-Bounty-Programm ausgeschlossen. Nun hat der Forscher erneut eine Lücke gefunden - und Valve scheint langsam einzulenken.

Jetzt auch mit den vollständigen Kreditkartennummern: Diese sollen sich in einer weiteren Datenbank mit rund 80.000 Einträgen befinden. Das bestätigt auch Mastercard in einer E-Mail an die betroffenen Kunden. Ein externer Dienstleister soll für das Datenleck verantwortlich sein.

Nicht erst mit der Einführung von Cortana hat Microsoft damit begonnen, Mitschnitte des eigenen Sprachassistenten durch Mitarbeiter anzuhören. Diese Praxis gibt es bereits seit sechs Jahren, angefangen hat es mit der Sprachsteuerung Kinect in der Spielekonsole Xbox One.

In den Browsern von Mozilla und Google wird das TLS-Zertifikat, mit dem die kasachische Regierung zeitweise den Datenverkehr von Bürgern überwacht hat, gesperrt.

In einer Diskussion um die Aufnahme eines neuen Dateisystems in den Linux-Kernel wird klar, dass viele Dateisystemtreiber mit defekten Daten nicht klarkommen. Das kann nicht nur zu Abstürzen führen, sondern auch zu Sicherheitslücken.

Rund 90.000 gekürzte Kreditkarten-Nummern sowie weitere persönliche Daten enthält eine Datenbank, die aus einem Datenleck bei einem Bonusprogramm von Mastercard stammt. Der Zahlungsdienstleister spricht von einem "Problem" und stoppt das Programm.

In der Systemkonfigurationssoftware Webmin waren offenbar für über ein Jahr Hintertüren, mit denen sich übers Netz Code ausführen lässt. Den Angreifern gelang es dabei offenbar, die Release-Dateien des Projekts zu manipulieren.

Das Entwicklerteam von Facebook hat ein eigenes Werkzeug zur statischen Code-Analyse erstellt und stellt nun erstmals Details dazu vor. Das Projekt habe Tausende Sicherheitslücken verhindert.

Der Ladenetzbetreiber Allego hat die Abrechnung der öffentlichen Ladestationen in Berlin umgestellt. Statt eines Pauschalpreises für den Ladevorgang zahlen Elektroautomobilisten in Zukunft nach geladener Strommenge.

Das US-Unternehmen Corellium bietet nahezu perfekte Virtualisierungen von Apples iOS an - vornehmlich für Entwickler, die Schwachstellen im Betriebssystem aufdecken wollen. Apple geht das zu weit, weshalb es nun eine Urheberrechtsklage eingereicht hat.

Die Verschlüsselung des Bluetooth-Protokolls lässt sich einfach aushebeln, ein Angreifer kann die Schlüssellänge kontrollieren und auf eine triviale Größe reduzieren. Abhilfe ist nicht in Sicht, die Bluetooth-Standardisierungsgruppe will die Schlüssellänge nur minimal erhöhen.

Die Kaspersky-Antivirensoftware bindet in jede Webseite eigenen Javascript-Code ein. Bis vor kurzem war dieser noch mit einer eindeutigen ID versehen, den man zum Tracking nutzen konnte.

Die Grünen haben für den Haustürwahlkampf eine neue App entwickelt. Weil darin auch GPS-Daten und Hausnummern gespeichert werden, gibt es datenschutzrechtliche Bedenken.

Google hat bei seinen Nest-Kameras die Möglichkeit deaktiviert, die Status-LED bei der Aufnahme zu deaktivieren - aus Gründen der Privatsphäre. Viele Nutzer haben kein Verständnis für diesen Schritt: Die eingeschaltete LED würde Einbrecher auf die Kamera hinweisen.

Audis Elektro-SUV E-Tron hat als erstes akkubetriebenes Auto den Top Safety Pick+ Award des Insurance Institute for Highway Safety (IIHS) erhalten. Teslas Model X und 3 werden noch getestet.

Microsoft hat seine Datenschutzerklärung überarbeitet. Darin erfährt der Kunde erstmals offiziell, dass Sprachaufnahmen von Menschen angehört werden, wenn Cortana oder Skype-Übersetzungen verwendet werden.

Amazon hat das Gesichtserkennungssystem Rekognition überarbeitet. Die Erkennung soll verbessert worden sein. Außerdem kann das System eine weitere Emotion erfassen. Bei einem Test der ACLU offenbarte das System hingegen wieder Schwächen.

Ein Systemdienst für Texteingabemethoden, das es seit Windows XP gibt, wurde offenbar mit wenig Sicherheitsbewusstsein entwickelt. Tavis Ormandy von Google gelang es damit, als Nutzer Systemrechte zu erlangen. Es gibt ein Update von Microsoft, doch das behebt wohl nicht alle Probleme.

Adobe muss am August-Patchday eine hohe Anzahl von Sicherheitslücken beseitigen, die aber meist keine unmittelbare Gefahr darstellen. In einem Fall hat jedoch Hyatt einen unangenehmen Fehler im CMS Experience Manager entdeckt.

Nun hat es auch Facebook erwischt: Das soziale Netzwerk ließ offenbar Hunderte externe Mitarbeiter die Sprachnachrichten von Nutzern transkripieren, um die KI zu trainieren.

Microsoft warnt vor zwei Remote-Code-Execution-Bugs im Remote Desktop Service. Damit lassen sich Windows-Rechner übers Netz kapern, wenn sie die Remoteadministration aktiviert haben. Alle aktuellen Windows-Versionen sind betroffen.

Die DSGVO verpflichtet Anbieter zur Herausgabe aller gespeicherten Daten mit Personenbezug. Die Vorschrift lässt sich auch zum Identitätsdiebstahl einsetzen.

Der Umgang mit Passwörtern ist für viele Nutzer zu kompliziert. Google führt stattdessen nun die Möglichkeit ein, sich auf einem Android-Smartphone bei einigen seiner Dienste mit Hilfe biometrischer Entsperrmöglichkeiten einzuloggen. Dabei werden FIDO2, W3C Webauthn und FIDO CTAP genutzt.

Sogenannte Extended-Validation-Zertifikate führten bisher dazu, dass in Browsern der Firmenname vor der Adresszeile angezeigt wurde. Chrome und Firefox schaffen das jetzt ab, da kaum etwas darauf hindeutet, dass damit die Sicherheit erhöht wird.

Auf Windows-Systemen, auf denen der Spiele-Launcher Steam installiert ist, können einfache Nutzer Programme mit Systemrechten ausführen. Der Entdecker der Lücke meldete diese über die Plattform Hackerone, dort erklärte man den Bug für ungültig und wollte eine Veröffentlichung verhindern.

Spionage auf der einen, finanzielles Eigeninteresse auf der anderen: Die Gruppe APT 41 soll nicht nur für den chinesischen Staat hacken . Das behauptet das IT-Sicherheitsunternehmen Fireeye in einem neuen Bericht.

Apple öffnet sich der Sicherheitszene und lobt ein umfangreiches Programm für das Entdecken von Sicherheitslücken bei seinen Betriebssystemen aus. Dazu wird auch eine Spezialversion des iPhones angeboten.

Ein Sicherheits-Audit der Container-Orchestrierung Kubernetes hat wie zu erwarten einige Lücken gefunden. Darüber hinaus bekommt die Software kein besonders gutes Zeugnis der Prüfer.

Instagram Stories sollten nur einen Tag sichtbar sein. Das Marketing-Unternehmen Hyp3r umging diese Einschränkung und sammelte massenhaft Informationen über Instagram-Nutzer. Vor allem hatte es das Startup auf Standortdaten abgesehen.

Microsoft lässt Sprachbefehle für seinen digitalen Assistenten Cortana von Menschen auswerten. Auch Skype-Telefonate werden von Menschen analysiert - dabei können diese sogar Telefonsex lauschen.

Eine besondere ZIP-Datei kann bei vielen Antiviren-Programmen zu extrem hoher CPU-Last führen und sie praktisch außer Gefecht setzen. Mit Tricks gelang es einem Sicherheitsforscher, extrem hohe Datenkompressionsraten zu erreichen.

Kasachstan hat Nutzer angewiesen, ein Root-Zertifikat zur Überwachung ihrer verschlüsselten TLS-Verbindungen zu installieren. Jetzt dürfen diese das Zertifikat wieder löschen - zumindest vorläufig.

Mit der Spectre-ähnlichen SWAPGSAttack kann auf eigentlich geschützte Speicherbereiche zugegriffen werden, indem die spekulative Ausführung des Befehls ausgenutzt wird. Betroffen sind alle Intel-CPUs seit Ivy Bridge von 2012, von Microsoft gibt es bereits Patches für Windows 10.

Das Android-Security-Team von Google hat angekündigt, das kommende Memory-Tagging von ARM-CPUs zu unterstützen. Das soll das Ausnutzen typischer Speicherfehler erschweren.

Mit dem August-Sicherheitsupdate von Android patcht Google vergleichsweise wenige Fehler. Einig paar haben es allerdings in sich und betreffen insbesondere Qualcomm-basierte Hardware.

Standardpasswörter und fehlende Sicherheitsupdates: So hat sich eine mutmaßlich russische Hackergruppe in Netzwerke von Microsoft-Kunden einschleusen wollen. Sicherheitsforscher des Unternehmens warnen nicht zum ersten Mal vor der Gruppe.

Der ADAC und der ÖAMTC haben Keyless-Go-Systeme zahlreicher Autohersteller getestet und sind zu einem ernüchternden Ergebnis gekommen. Nur vier Modelle haben sich nicht knacken lassen.

Wie lange ein kryptografisches Verfahren braucht, kann ungewollt Informationen verraten. Mit einer solchen Schwachstelle konnten Forscher Passwörter bei der WLAN-Verschlüsselung WPA3 knacken.

Mail rechtzeitig verschickt, Frist aber trotzdem versäumt: Das BeA kommt mit Umlauten nicht klar, der Absender einer Nachricht erfährt davon aber nichts.

Es gibt neue brisante Details dazu, wie Amazon-Mitarbeiter Mitschnitte von Alexa anhören und auswerten sollen: Diese würden teils von zu Hause ausgewertet, heißt es in einem Zeitungsbericht.

Update: Dieser Artikel beruhte auf einem Irrtum, wir haben ihn deshalb entfernt.

Warnungen vor extrem gefährlichen Sicherheitslücken erreichen uns fast täglich. Doch häufig sind diese halb so wild oder existieren schlicht gar nicht. Wir erklären, wie wir damit umgehen.
Von Moritz Tremmel und Sebastian Grüner