Alissa Cooper, Chef-Informatikerin der US-Verbraucherschutzorganisation Center for Democracy and Technology ist verblüfft: Google hat in einer leicht zugänglichen Datenbank gespeichert, an welchem Ort Google ihr altes Laptop einmal verortet hat. Cooper hat die MAC-Adresse - eine eindeutige Kennung jeder Netzwerk-Schnittstelle von Geräten wie Routern, Computern oder Smartphones - ihres Laptops in ein Formular getippt, das Googles Datenbank von W-Lan-Zugangspunkten abfragt. Das erstaunliche Ergebnis: Google ordnete der Adresse Coopers alte Wohnort Washington, vor zwei Jahren lebte sie dort.
Die Datenschutzexpertin berichtet dies dem US-Nachrichtenportal Cnet. Der Sicherheitsforscher Ashkan Soltani hat im Auftrag von Cnet einen kleinen Test gemacht: Er sammelte zunächst in einem Café und an einem öffentlichen Platz in San Francisco die MAC-Adressen von Geräten ein. Im nächsten Schritt glich er die eingesammelten Adressen mit Googles Datenbank ab. Ergebnis: Von 76 MAC-Adressen aus dem Café waren sieben in Googles Datenbank zu finden. Bei 257 MAC-Adressen von Geräten, die sich bei einem offenen W-Lan-Zugangspunkt anmeldeten, konnte Soltani etwa einem Zehntel dank Google einer Position zuordnen.
Tethering bedeutet: Das Handy ist übers Mobilfunknetz online und gibt über W-Lan angeschlossenen Geräten (zum Beispiel einem Notebook) Zugriff auf diese Verbindung.
Der Informatiker Bastian Könings von der Universität Ulm hält diese Argumentation für plausibel: "Wenn Google wirklich nur die MAC-Adressen von Geräten mit aktivierten Tethering erfasst hat, ist das meiner Ansicht nach kein Skandal."
So fragen Sie ab, ob Google ihre Geräte verortet hat
Nutzer können selbst ausprobieren, ob die MAC-Adressen ihrer Smartphones und W-Lan-Router in der Google-Datenbank oder der des Wettbewerbs Skyhook verzeichnet sind. Der Programmierer Samy Kamkar hat eine einfache Website zur Abfrage der Google-Datenbank entworfen, ein Entwickler aus Österreich bietet ein Formular zum Abruf von Informationen aus der Skyhook-Datenbank. Wie sie die MAC-Adresse Ihres Geräts ermitteln, beschreibt ein Wikipedia-Eintrag sehr gut.
Weltkarte der W-Lan-Router
Über einen ähnlichen Test hatten im April schon Forscher bei der Geräte-Suchmaschine Shodan berichtet: Sie fragten übers Netz die MAC-Adressen bestimmter Router-Modelle ab und verorteten die ermittelten Geräte dann weltweit über einen Abgleich mit der Google-Datenbank. Wenn man weiß, dass bei bestimmte Gerätetypen eine Firmware mit Sicherheitslücken läuft, kann es für Angreifer ganz interessant sein zu erfahren, wo diese Router stehen. Man könnte die Adresse ja im nächsten Schritt zum Beispiel mit Firmenverzeichnissen abgleichen, um Angriffsziele ausfindig zu machen.
Ein riesiger Datenschutzskandal ist das alles nicht, gleichwohl könnten in bestimmten Fällen die Datenbanken mit MAC-Adressen (neben Google bietet auch das Unternehmen Skyhook solche Daten) zum Problem werden. Der Sicherheitsforscher Joshua Perrymon vom US-Unternehmen PacketFocus schätzt das Missbrauchspotential so ein: "Wenn ein Angreifer die MAC-Adresse Ihres Telefons kennt und Sie oft die W-Lan-Funktion aktiviert haben, können Sie in einem bestimmten Ausmaß überwacht werden". Natürlich gibt es weit effizientere Überwachungsmethoden, sagt Perrymon - es hänge immer davon ab, wer wen mit welchem Aufwand überwachen wolle.
Zu den Schwierigkeiten: Die MAC-Adresse eines Gerät kann nur auslesen, wer sich in der Nähe befindet, wenn das W-Lan-Modul des Geräts aktiv ist. Die Datenbanken geben keine Auskunft darüber, wann die eine Position aufgezeichnet wurde, die angegeben wird. Abgesehen davon ist eine MAC-Adresse einem Gerät, nicht einer Person zugeordnet - deshalb zweifeln Juristen auch an, ob nach deutschen Recht MAC-Adressen als personenbezogene Daten gelten.
Ein Datenschutzproblem sieht Perrymon bei den Positionsdatenbanken von Google und Skyhook durchaus, er vergleicht dies mit den RFID-Chips: "Wenn ein Angreifer die Kennung weiß und das Ziel in den Empfangsbereich eines Scanner kommt, kann man es verorten." Es gäbe viele einfachere Methoden, dennoch werfe diese eine Datenschutzfragen auf. Bei dem Experiment in New York konnte Soltani zum Beispiel eine MAC-Adresse einer Position in Bochum, eine andere einem Standort in Berlin zuordnen.
Google verortet MAC-Adressen zur besseren Positionsbestimmung
Wie aber kommt Google dazu, die MAC-Adressen überhaupt in Verbindung mit einem Standort zu protokollieren? Dass das geschieht, ist schon lange bekannt. Google kartografiert wie einige andere Unternehmen auch die Positionen von Mobilfunkmasten und W-Lan-Hotspots. Die so aufgebaute Datenbank erleichtert die Positionsbestimmung. Wenn man mit einem Smartphone in einer Großstadt zwischen Häuserschluchten seinen Standort bestimmen lässt, geht das per GPS nicht ganz so schnell wie über einen Abgleich der W-Lan-Zugangspunkte in der Nähe mit der Positionsdatenbank.
Googles Street-View-Fahrzeuge sammeln diese Informationen. Aber auch Nutzer von Google-Diensten können als Umgebungsscanner fungieren, wie das Unternehmen Mitte 2010 einräumte: Bei der Positionsbestimmung mit einem Android-Handy werden die MAC-Adresse aus der Umgebung an Google übertragen.
Google verortetet auch einige Smartphones
Neu ist, dass laut Cnet auch die MAC-Adresse einiger iPhones in der Datenbank erfasst sind. Wir konnten das allerdings nicht nachvollziehen - die MAC-Adressen von fünf in der Redaktion getesteten Smartphones waren nicht in der Google-Datenbank zu finden. Das Unternehmen erklärt auf Anfrage von SPIEGEL ONLINE die Beobachtung von Cnet so: "Wir sammeln öffentlich gesendete MAC-Adressen von W-Lan-Zugangspunkten. Wenn ein Nutzer das drahtlose Tethering bei seinem Mobilgerät aktiviert hat, wird dieses Gerät zu einem W-Lan-Zugangspunkt und so kann die MAC-Adresse eines solchen Geräts in die Datenbank aufgenommen werden."
Quelle: www.spiegel.de
Keine Kommentare:
Kommentar veröffentlichen