Thomas Gericke

In the case of Google, according to new research by security analyst Samy Kamkar, an HTC Android phone collected its location every few seconds and transmitted the data to Google at least several times an hour. It also transmitted the name, location and signal strength of any nearby Wi-Fi networks, as well as a unique phone identifier.

Google declined to comment on the findings.

Quelle: The Wall Street Journal

Ich wollte mich eigentlich aus dem Thema raushalten, dass Apples iOS-Geräte Bewegungsdaten speichern und auf der Festplatte ablegen. Aber als ich heute diesen Artikel von Dieter Petereit gelesen habe, hat es mir fast die Schuhe ausgezogen und ich habe darüber berichtet, wie und wo die Daten bei Apple-Geräten abgelegt werden.

Die Fakten:

iPhone und iPad speichern seit iOS 4 (das iPhone Betriebssystem der Version 4) Bewegungsdaten des Gerätes und überträgt diese bei der Synchronisation mit iTunes auf den Rechner, wo es eine unverschlüsselte Datei mit den Koordinaten samt Datum/Uhrzeit ablegt. Weiterhin holt Apple diese Daten wohl alle 12 Stunden vom iOS-Gerät ab, anonymisiert sie allerdings dabei, so dass kein Rückschluss auf den Besitzer oder das Gerät gezogen werden kann. Schlimm? Nein, finde ich nicht.

[ad#Google Adsense 468×60 Image Inline]

Dieter Petereit berichtet nun darüber, dass das (wie wir alle wussten und von Apple mehrfach bestätigt wurde) ein alter Hut und keine Neuheit sei. Neu sei nur, dass die Rohdaten wirklich klar und gut lesbar auf der Festplatte liegen. Aber sie liegen auf der Platte des Besitzers vom jeweiligen Mobiltelefon – also vermeintlich gut aufgehoben.

Externen Zugriff, der allerdings nur über den Zugang zu Eurem Computer, der das iPhone-Backup enthält, also typischerweise höchstens über Familie, Freunde etc. möglich wäre, kann man überdies erschweren, indem man das iPhone-Backup verschlüsselt. Damit ist das Thema dann komplett durch.

Weiterhin – und das ist der Skandal an der Geschichte – berichtet Dieter (unter Bezug auf thenextweb.com und dem Wallstreet Journal) davon, dass Googles Handy-Betriebssystem Android ebenfalls Bewegungsdaten des Gerätes speichert, allerdings nur kurze Zeit vorhält. Naja, und damit diese Daten nicht verloren gehen, hat sich Google wohl überlegt, dass es eine gute Idee sei, diese Informationen direkt “heim zu Muttern” zu schicken – und zwar nicht anonymisiert, sondern direkt mit dem Unique Phone Identifier, der eindeutigen Gerätekennung.

Denn Android sendet die Informationen nicht etwa alle 12 Stunden in anonymisierter Form nach Hause. Nein, Android sendet die Informationen mehrmals pro Stunde und zwar in nicht anonymisierter Form, also inklusive des Unique Phone Identifiers, mit dem die Trackingdaten einem ganz konkreten Telefon zugeordnet bleiben. Das haben jedenfalls laut Wallstreet Journal verschiedene Experten untersucht und bestätigt.

Was bedeutet das? Ganz klar: sollten diese Angaben des Wallstreet Journals stimmen, so ist Google in der Lage, in nahezu Echtzeit zu ermitteln, wann sich ein Mobiltelefon mit Android-Betriebssystem an welchem Ort aufgehalten hat.

[ad#Google Adsense 468×60 Image Inline]

Jetzt stelle man sich mal vor, man würde diese Daten mit anderen korrelieren. Der Aufenthaltsort eines Google-Handys kann ermittelt werden. Das Handy kann einer Person zugeordnet werden. Von dieser Person sind alle Google-Suchanfragen der letzten 10 Jahre bekannt. Sollten sich Facebook und Google mal grün werden, so könnte dazu berechnet werden, wann die Person welche Postings gemacht hat, welche Bilder er/sie geschossen hat. Nimmt man jetzt noch Payback- und Amazon-Daten hinzu, weiss man auch, wofür sich diese Person so interessiert, welche Bücher sie kauft und mit welchem Shampoo sie sich die Haare wäscht – natürlich auch wo und unter wessen Dusche. Und dank StreetView ist auch gleich bekannt, welche Vorhänge im Badezimmerfenster hängen.

Nun frage ich euch: Was ist schlimmer? Bewegungsdaten im Telefon und auf dem privaten Rechner zu speichern oder sie online inkl. Benutzerkennung an den Hersteller zu senden, hm?

So, die halbe Welt echauffiert sich seit Tagen darüber, dass iOS-Geräte (iPhone, iPad) von Apple die Bewegungsdaten des Gerätes speichert und bei jeder Synchronisation mit iTunes (unverschlüsselt) auf der Festplatte ablegt. Eigentlich wollte ich mich dazu nicht äussern, doch jetzt überkommt es mich doch. Hauptsächlich wegen des nächsten Artikels, den ich inzwischen verfasst habe.

Mein Kommentar: na und?!

Leute, habt Ihr überhaupt eine Ahnung davon, welche Informationen ganz andere Unternehmen von Euch haben? Payback weiss genau, wo (und was!) ihr so einkauft, also wofür Ihr Euch interessiert und welche zielgerichtete Werbung Euch geschickt werden kann. Amazon weiss ebenfalls nicht nur, was Ihr einkauft, sondern auch, wofür Ihr Euch interessiert. Facebook weiss genau, was Ihr so treibt und dank IFRAMES auch, auf welchen Seiten Ihr sonst noch so herumsurft. Und Google speichert seit vielen, vielen Jahren, was für Suchanfragen Ihr jemals so abgesetzt habt. Auch Jahre später ist nachvollziehbar, wofür Ihr Euch interessiert habt. Ich hatte hier und hier und hier schonmal genau über diese Themen berichtet. Und das Spannende dabei ist: all diese Informationen werden in Echtzeit gespeichert und geben auch in Echtzeit ein Profil von Euch wider.

So, und jetzt stellt euch mal vor, wenn all diese Unternehmen ihre Daten miteinander kombinieren – eine ungeahnte Macht tritt dann in Erscheinung, die Euch zum gläsernen Bürger der digitalen Welt macht. Faszinierend.

[ad#Google Adsense 468×60 Image Inline]

Insofern: Apples Geräte speichern Bewegungsdaten – na und?!

Für mich stellt das kein Problem dar, zumal ich selbst (noch?) die Macht über diese Daten habe und sie auch bei jedem iPhone-Backup verschlüsseln kann, wenn ich es möchte. Der geneigte Benutzer kann dazu einfach in den iTunes-Einstellungen zu seinem iOS-Gerät den entsprechenden Haken setzen. Kann ja nicht so schwer sein.

Und ja, es mag sein, dass Apple die Bewegungsdaten auch vom Gerät abholt, allerdings werden diese Untersuchungen zu Folge dabei anonymisiert, so dass kein Rückschluss auf den Besitzer oder das Gerät gezogen werden kann.

Seit einigen Tagen gibt die iPhone Tracker Software, welche die in den Backups gespeicherten Daten hübsch grafisch aufbereitet und auf einer Karte ausgibt. Kostet nichts, ist idiotensicher zu bedienen. Bei mir schaut das wie folgt aus und ja, ich habe kein Problem damit, sogar publik zu machen, wo ich mich in den letzten Monaten aufgehalten habe:

Dazu sei angemerkt, dass die Werte vereinzelt stark verfälscht sind. Hauptsächlich, da auf Grund “merkwürdiger” Funkzelleneinbuchungen und mir nicht näher bekannten Abweichungen einige Ausreisser entstehen. So war ich im letzten Jahr zwar nie im Ruhrgebiet unterwegs – aber das vernachlässige ich mal.

[ad#Google Adsense 468×60 Image Inline]

Auf der Seite der Programmierer sowie dieser Seite ist gut beschrieben, wie man sich die Rohdaten der gespeicherten Informationen im SQLite-Format anschauen und auseinanderfieseln kann. Die Datei liegt (z. B. unter Mac OS X) irgendwo im MobileSync Verzeichnis, kann mit Hilfe dieses Python-Scripts gefunden und z. B. mit Hilfe vom SQLite Database Browser untersucht werden.

Der Timestamp beginnt seine Rechnung übrigens zum 1. Januar 2001, also einfach 978307200 dazu addieren und man kommt auf den allgemein bekannten UNIX_TIMESTAMP (Sekunden seit 1. Januar 1970).

Liebe Leute, habt ihr keine anderen Sorgen, als euch darüber aufzuregen, dass Apple das technisch Mögliche nutzt und Eure privaten Bewegungsdaten auf Eurer privaten Festplatte für Euch speichert?! Stellt euch doch mal vor…

diese Daten würden nicht ausschliesslich auf Eurem Mobiltelefon oder Eurer Festplatte gepeichert, sondern direkt zum Hersteller gesendet, so dass dieser nahezu in Echtzeit weiss, wo Ihr seid oder wo Ihr wart.

… Aber dazu später mehr…