Android 12: Googles QR-Code-Scanner verfälscht URLs; Sicherheitslücke in Google Kamera & Google Lens

android 

So wie viele Kamera-Apps besitzt auch die Google Kamera einen integrierten QR-Code-Scanner, der bei Erkennung eines solchen Codes aktiv wird und diesen entsprechend dekodiert. Das ist keine Raketenwissenschaft, doch wie nun herausgefunden wurde, sorgt das unter Android 12 beim Scan von kodierten URLs für Probleme. Schuld ist laut einem Bericht Googles Künstliche Intelligenz.


android camera logo

Das Scannen von QR-Codes ist in der heutigen Zeit für viele Menschen eine Selbstverständlichkeit und auf sehr vielen Wegen möglich. In den Google-Apps ist ein solcher Scanner erhalten, im Google Play Store gibt es Tausende solcher Apps und mit Android 13 wird Google eine solche Funktion sogar nativ in das Betriebssystem integrieren. Doch ausgerechnet der vermeintlich vertrauenswürdigste Scanner – nämlich der von Google – hat durch die KI gravierende Mängel.

Falsch ausgebesserte TLDs
Wie heise herausgefunden hat, kommt bei der Erkennung von URLs eine Künstliche Intelligenz zum Einsatz, die vermeintliche Fehler korrigieren will. Allerdings laufen diese Filter regelrecht Amok und verbessern alles, was ihnen vor die virtuellen Augen läuft. So werden etwa Punkte gesetzt, wo keine hingehören – weil diese aus Sicht der Scanner vermeintlich vergessen wurden. Dabei geht es um die Erkennung von TLD-Bestandteilen. Aus fooco.at wird automatisch foo.co.at – weil „co.at“ eine recht gängige URL aus Österreich ist. Man muss kein ITler sein, um zu wissen, dass dies zu einem völlig anderen Ziel führt.

Bei heise hat man eine ganze Reihe von Beispielen einer solchen Situation veröffentlicht, die mehr als ein Dutzend gängige TLDs rund um die Welt umfassen. Aber das ist längst nicht das einzige Problem, denn man hat noch zwei weitere Stolperstellen entdeckt, in denen die automatische Verbesserung ebenfalls zum Einsatz kommt.




Gekürzte TLDs
Doch Googles Filter haben wohl auch noch nie etwas von den vielen „neuen“ TLDs gehört, die zwar nicht ganz gängig sind, aber dennoch existieren. Und so kommt es, dass diese einfach abgeschnitten werden könnten: Aus fooco.cat wird dann plötzlich fooco.ca. Eingefleischte Experten und auch alle anderen Nutzer wissen sofort, dass auch diese beiden URLs zu völlig anderen Zielen führen. Ähnlich ist es mit .apple, das zu .app leitet, .amex, das zu .am leitet und ählichen Fällen.

Verrückte Ziffern
Es ist selten, aber kommt vor, dass in einer www-Subdomain eine Ziffer vorhanden ist. Etwa www6.rbc.com für die Webseite einer Bank. Doch auch davon haben Googles Algorithmen noch nie etwas gehört und verschieben die Ziffer einfach an eine andere Stelle. Aus www6.rbc.com wird dann plötzlich www.6.rbc.com. In diesem Fall führt das zwar immerhin zur gleichen Domain und kann damit nicht direkt als Sicherheitsproblem gewertet werden, aber das gewünschte Ziel wird der Nutzer vermutlich dennoch nicht erreichen.


Google hat sich bisher nicht dazu geäußert, doch dass so etwas überhaupt vorkommt und in den internen Tests keinem aufgefallen ist, ist schon erstaunlich. Es wird spekuliert, dass das etwas mit der URL-Kürzung im Chrome-Browser zu tun hat, dessen Algorithmen wohl auch in der Google Lens-Erkennung der Google Kamera zum Einsatz kommen. Kurios: In der Google Lens-App ist das nicht der Fall. Seid ihr betroffen, dann schaltet die Google Lens-Integration in den Kamera-Einstellungen ab und schon sollte Ruhe sein. Betroffen ist nur Android 12.

» Google Labs: Neues AR-Headset ist in Entwicklung – ‚Project Iris‘ mit Tensor, Android & Cloud-Grafik (Bericht)

» Google Pay: Neustart mit langjährigem PayPal-Manager und möglicher Unterstützung von Kryptowährungen

[heise]




Teile diesen Artikel:

Facebook twitter Pocket Pocket

comment 1 Kommentare zum Thema "Android 12: Googles QR-Code-Scanner verfälscht URLs; Sicherheitslücke in Google Kamera & Google Lens"

Kommentare sind geschlossen.