Das Computer Emergency Response Team der Ukraine (CERT-UA) warnt vor einer Kampagne gegen ukrainische Regierungseinrichtungen. Über Phishing-Mails mit einem ZIP-Archiv oder einem Link zu einer für Cross-Site-Scripting anfälligen Website werden die Infostealer SHADOWSNIFF und SALATSTEALER sowie eine in Go geschriebene Backdoor namens DEAFTICKK verbreitet. CERT-UA schreibt die Aktivität dem Akteur UAC-0252 zu. Parallel berichtet ClearSky über eine mutmaßlich russische Spionagekampagne gegen die Ukraine mit den bislang undokumentierten Schadprogrammen BadPaw und MeowMeow, die wahrscheinlich APT28 zuzuordnen sei; Ziele und Erfolg der Angriffe nennt das Unternehmen nicht.

Laut Proofpoint trat eine neue Malware-as-a-Service-Plattform namens TrustConnect auf, die sich für 300 US-Dollar pro Monat als legitimes Fernwartungswerkzeug (RMM) ausgab. Verbreitet wurde sie über Phishing-Mails mit angeblichen Einladungen oder Angeboten, die zum Download gefälschter Programme führten. Der RAT übernimmt die vollständige Maus- und Tastatursteuerung und kann den Bildschirm aufzeichnen. Nachdem Proofpoint Teile der Infrastruktur störte, kehrte der Akteur mit einer umbenannten Version namens DocConnect zurück. Intrinsec wiederum entdeckte 48 mit AuraStealer verknüpfte C2-Domains; der Stealer war im Juli 2025 in Untergrundforen aufgetaucht und wird unter anderem über ClickFix verbreitet.

Forscher des IMDEA Networks Institute zeigten, dass Reifendruck-Sensoren (TPMS) unverschlüsselte Funksignale mit gleichbleibenden Kennungen senden. Da jede Kennung eindeutig ist und sich nicht ändert, lassen sich Fahrzeuge wiedererkennen und über die Zeit verfolgen. Mit software-definierten Funkempfängern in bis zu 40 Metern Entfernung könnten Angreifer laut den Forschern unbemerkt Bewegungsprofile erstellen, ohne Sichtkontakt wie bei kamerabasierten Systemen.

Google kündigte an, neue Chrome-Versionen künftig alle zwei statt alle vier Wochen zu veröffentlichen. Der neue Zyklus gilt auch für Beta-Versionen, beginnend mit Chrome 153 am 8. September 2026.

Auf der Regulierungsseite verhängte das britische Information Commissioner’s Office (ICO) ein Bußgeld von 14,47 Millionen Pfund gegen Reddit. Die Plattform habe personenbezogene Daten von Kindern unter 13 Jahren unrechtmäßig verarbeitet und das Alter der Nutzer nicht ausreichend geprüft. Reddit kündigte Berufung an. In Texas teilte Generalstaatsanwalt Ken Paxton mit, dass Samsung Daten der automatischen Inhaltserkennung (ACR) künftig nur noch mit ausdrücklicher Einwilligung erfassen werde; Samsung bestreitet, Nutzer auszuspähen.

Apple-iPhones und -iPads wurden als erste Geräte für Endverbraucher zur Verarbeitung von Verschlusssachen in NATO-Netzen freigegeben, ohne zusätzliche Software. Zuvor hatte das deutsche Bundesamt für Sicherheit in der Informationstechnik die Geräte für eingestufte Regierungsdaten zugelassen. TikTok erklärte gegenüber der BBC, keine Ende-zu-Ende-Verschlüsselung für Direktnachrichten einführen zu wollen, da dies Strafverfolgungs- und Sicherheitsteams den Zugriff verwehren würde.

Ein Forschungsteam von Anthropic, der ETH Zürich und MATS Research entwickelte große Sprachmodelle, die Internetnutzer anhand früherer Kommentare oder digitaler Spuren deanonymisieren können – auch bei wechselnden Pseudonymen über mehrere Plattformen hinweg. Die Methode übertreffe klassische, manuelle Verfahren und ermögliche vollautomatisierte Angriffe im großen Maßstab. “Die praktische Anonymität, die pseudonyme Nutzer im Internet schützt, hält nicht mehr stand”, so die Forscher; Bedrohungsmodelle für die Online-Privatsphäre müssten überdacht werden.