Wifi-Tracking in die Tonne

Wie ArsTechnica berichtet, hat die Firma Renew in London Mülleimer mit WLAN aufgestellt. Diese „Smart Bins“ erfassen und speichern die MAC-Adresse, eine weltweit eindeutige Nummer, die jedes netzwerkfähige Gerät erhält. Daraus kann man unter anderem den Hersteller des Geräts ablesen, manchmal auch das Modell. Renew möchte mit diesen Daten Bewegungsprofile erstellen und verkaufen. Sie schreiben dazu in ihrer Presserklärung:

The results provided a concise breakdown (to the 50th of a second) of the movement, type, direction, and speed of unique devices that the Renew Network gather across Renew ORB test sites, and help identify peak footfall times from key hotspots in the City of London.

The network figures accumulated over the week reached a total of 4,009,676 devices captured with over 530,000 uniques acquired.

Der Aufschrei der Datenschützer ließ nicht lange auf sich warten. Renew, Erfinder und Betreiber der Smart Bins, versteht die Kritik nicht. Sie vergleichen das Logging der weltweit eindeutigen MAC-Adresse von vorbeikommenden Mobiltelefonen mit der Verwendung von Cookies im Web. Diese sind jedoch auf die Kooperation des Browsers des Besuchers angewiesen und auch in ihren Möglichkeiten eingeschränkt. Nicht zuletzt müssen Webseitennutzer in Großbritannien explizit ihre Einwilligung für die Verwendung der Cookies geben.

Mittlerweile hat sich der Stadtbezirk der „City of London“ eingeschaltet und die Smart Bins werden abgeschaltet. Das Problem ist damit aber nicht aus der Welt. Mit an Sicherheit grenzender Wahrscheinlichkeit verfolgen auch andere Entitäten solche Signale, schreiben aber keine Pressemitteilungen. Um die möglichen Auswirkungen dieses Trackings zu verstehen, ist es hilfreich, sich die technischen Hintergründe zu verdeutlichen.

Kabellose Netzwerkverbindungen nutzen Funkkanäle zur Kommunikation. Davon gibt es je nach Land und verfügbarem Frequenzspektrum 11–14 Stück im für diese Benutzung freigegebenen 2,4-GHz-Band. Jeder dieser Kanäle ist ein gemeinsames Medium, auf dem alle Teilnehmer kommunizieren.

Um nun eine Liste der verfügbaren WLAN-Zugangspunkte (Access Points, APs) in der Umgebung zu bekommen, gibt es zwei Möglichkeiten – passive Scans und aktive Scans. Beim passiven Scannen bucht sich das suchende Gerät nacheinander in alle verfügbaren Kanäle ein und wartet dann eine Zeitlang, ob es eine Ankündigung von einem Zugangspunkt empfängt. Das dauert etwa 100ms, eher länger, also deutlich über eine Sekunde für das gesamte Kanalspektrum. Daher nutzen die meisten Geräte heutzutage den passiven Scan höchstens, um festzustellen, ob überhaupt irgendein WLAN in der Nähe ist, und dann auf einen aktiven Scan umzuschalten.

Bei einem aktiven Scan sendet die anfragende Station auf jedem Kanal eine Anfrage nach verfügbaren Access Points. Diese antworten darauf mit ihrem Namen und ihrer Adresse. Access Points, deren Name versteckt ist (Hidden SSID), antworten darauf nur, wenn sie „erwähnt“ werden. Zu diesem Zweck schickt der suchende Teilnehmer eine Liste von ihm bekannten Zugangspunkten inklusive Namen – im Zweifelsfall sind das alle gespeicherten APs. Da der Scan aktiv ist, enthält er außerdem immer die weltweit eindeutige MAC-Adresse des Geräts.

Nur durch das passive Mitlauschen auf allen Kanälen kann man so also feststellen, welche Geräte von welchen Herstellern zu welcher Zeit in welcher Gegend aktiv waren, häufig auch, welche Access Points diese bereits gespeichert haben. Ein einzelner AP kann dabei nur eine ungefähre Entfernung zur eigenen Position bestimmt. Betreibt man mehrere APs, kann man die Position hingegen sogar auf wenige Zentimeter triangulieren. Die MAC-Adresse eines Geräts kann zwar theoretisch häufig softwareseitig geändert werden, praktisch tut das aber niemand: Nutzer von Apples iOS-Geräten erlaubt Apple die Änderung gar nicht erst, Nutzer von Android-Geräten hätten es zwar etwas einfacher, manipulieren ihre MAC aber auch höchst selten.

Nur mit diesen Daten kann man schon pseudonyme Profile erstellen – allein die Bewegungsmuster von Menschen sind sehr eindeutig. Kombiniert mit der Liste der bekannten APs kann man häufig schon einen Namen ableiten. Um die Profile mit Realnamen zu verknüpfen, genügt es, z.B. eine Liste von Kreditkartentransaktionen im gefragten Zeitraum abzugleichen: Bei Starbucks im Wifi eingebucht und Kaffee gekauft? Dabei die Kreditkarte oder Kundenkarte genutzt? Schon nach wenigen Transaktionen ist die Zuordnung eindeutig.

Aber auch weitergehende Angriffe sind denkbar und leicht ohne das Risiko einer Entdeckung durchzuführen. Man stelle sich zum Beispiel vor, jemand würde in der ersten Klasse eines ICEs der Deutschen Bahn einen Access Point mit dem Namen „Telekom_ICE“ aufmachen. Die Laptops und Smartphones der Vielreisenden buchen sich ein; manche werden sich vielleicht sogar einloggen und dem Angreifer so ihre Anmeldedaten geben.

Was man alleine aus den Verbindungsversuchen diverser Anwendungen auslesen kann, zeigt das CreepyDOL-Projekt gut. In Verbindung mit F-BOMB ist es ein vollständiges Ausspähsystem zu einem kleinen Preis. Und was die Bewegungsdaten über eine Person verraten, hat Malte Spitz mit seiner Bestandsdatenauskunft deutlich gemacht. Im Gegensatz zu Mobilfunkverbindungen können WLAN-Daten noch viel einfacher mitgeschnitten und ausgewertet werden. Die Implikationen müssen wir uns bewusst machen – denn diesen Geist bekommt man nicht wieder in die Flasche zurück.