Auf den Punkt: Meta hat Gesichtserkennung mit drei KI-Modellen und lokaler biometrischer Speicherung in der Ray-Ban-Brillen-App installiert und per Serverbefehl deaktiviert — ohne Nutzer zu informieren.
Der Sicherheitsforscher Buchodi hat in Metas Stella-App für Ray-Ban- und Oakley-Smartbrillen einen vollständig funktionsfähigen, aber stillgelegten Gesichtserkennungsstapel mit drei Machine-Learning-Modellen entdeckt. Die Infrastruktur sitzt bereits auf Millionen Smartphones, ohne dass Nutzer davon wissen.
Bei der Dekompilierung der Android-Anwendung fand Buchodi drei spezialisierte KI-Modelle: eines zur Gesichtserkennung im Videostrom, eines zur Extraktion und Ausrichtung von Gesichtsausschnitten und eines zur Umwandlung visueller Daten in einen 2048-dimensionalen biometrischen Vektor. Diese Vektoren ermöglichen präzise Gesichtsvergleiche und lokale Datenbankabfragen mittels Kosinus-Ähnlichkeitssuche. Unbekannte Gesichter werden in einem lokalen Ordner namens „NameTagsPending“ gespeichert und bleiben auch nach Neustarts des Geräts bestehen. Die App enthält bereits einen Benachrichtigungskanal namens „NameTags recognition“.
Um die Funktionsfähigkeit zu prüfen, manipulierte Buchodi die App-Logik und löste manuell einen Erkennungsprozess aus. Er speiste einen biometrischen Vektor aus einem gemeinfreien Porträtfoto des Philosophen Michel Foucault in das System ein. Die Pipeline verarbeitete das Bild fehlerlos, erzeugte den Vektor, verglich ihn mit dem lokalen Index und löste eine Android-Systembenachrichtigung mit dem Namen aus. Dies beweist, dass alle Komponenten miteinander verbunden und einsatzbereit sind.
Für CISOs relevant: Die Infrastruktur ist derzeit deaktiviert und lässt sich nur durch serverseitige Steuerung durch Meta aktivieren. Das bedeutet, dass Millionen von Endnutzergeräten mit aktivierter Biometrie-Verarbeitung ein Datenschutz- und Sicherheitsrisiko darstellen. Besonders kritisch ist die lokale Speicherung biometrischer Daten ohne Nutzereinwilligung und der Verzicht auf Transparenz.
Meta hatte 2021 öffentlich angekündigt, die Gesichtserkennung auf Facebook einzustellen und über eine Milliarde gespeicherte Gesichtsprofile gelöscht. Der Konzern zahlte 650 Millionen Dollar Schadensersatz im US-Bundesstaat Illinois und 1,4 Milliarden Dollar in weiteren Rechtsstreitigkeiten wegen Verstößen gegen biometrische Datenschutzgesetze. Die aktuelle Entdeckung widerspricht dieser öffentlichen Zusage.
Quelle: www.it-daily.net · Erschienen 7. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.