Microsoft verrät Standortdaten von PCs und Smartphones
Standortdaten, die Microsoft für Millionen WLAN-angebundener PCs, Handys und andere Gerätschaften gesammelt hat, sind offenbar ohne Berücksichtigung des Datenschutzes für jedermann zugänglich.
Über Microsofts Webdienst-Plattform Live.com lässt sich eine Landkarte mit den Positionen zahlloser WLAN-Gerätschaften ausgeben. Microsoft nutzt die Informationen hinter dieser Landkarte, um Surfern auf Wunsch ortsspezifische Dienste anbieten zu können, berichtet das Magazin Cnet.
Will ein Smartphone mit dem Betriebssystem Windows Phone 7 ohne GPS-Hilfe seine aktuelle Position bestimmen, ermittelt es die MAC-Adressen der in Reichweite befindlichen WLANs und schlägt die Standorte von deren Access Points in Microsofts Positionsdatenbank nach, um daraus und aus den relativen Empfangsstärken auf die eigene Position zurückzuschließen. Im Rahmen dieser Abfrage erhält die Datenbank nebenbei auch Informationen über alle bisher unbekannten WLANs, die an der Handy-Position zu empfangen sind. Man könnte sagen, Windows-Smartphones betreiben Wardriving für Microsoft.
Elie Bursztein vom Stanford Security Laboratory hat das API zu Live.com und damit zu Microsofts Standort-Datenbank erforscht und will seine Erkenntnisse in der kommenden Woche auf der Black-Hat-Konferenz in Las Vegas vorstellen. Offenbar ist er in der Lage, jedes von Microsoft erfasste WLAN-Gerät anhand seiner MAC-Adresse zu loakalisieren.
Die GPS-unabhängigen Positionsbestimmungen in iPhones, Android-Geräten oder per Skyhook funktionieren auf dieselbe Art und Weise wie bei Microsoft, verwenden aber die eigenen Datenbanken dieser Anbieter. Die Standort-Atlanten von Google standen etwa über das Werkzeug Android Map des Hackers Samy Kamkar ursprünglich für jedermann offen. Der Suchmaschinen-Spezialist hat diese Auswertungen aber blockiert, nachdem er in öffentliche Kritik geraten war.
Abgesehen davon, dass mit der erwähnten Technik etwa die Positionsangaben eines Smartphones mit aktiviertem Tethering als Basis für illegitime Bewegungsprofile der Handy-Besitzer herhalten können, knüpfen sich noch weiter reichende Befürchtungen an Burszteins Beobachtungen. Google musste nämlich einräumen, dass es beim Zusammentragen von Positionsdaten mit Hilfe seiner StreetView-Kameraautos unterschiedslos auch Daten aufgesammelt hat, die niemanden etwas angehen, zum Beispiel Fetzen von E-Mails, die während der Erfassung über die betreffenden WLANs übertragen worden waren. Microsoft tritt entsprechenden Verdachtsmomenten bezüglich seiner Ortsdatensammlung mit einem Blog-Eintrag entgegen und verlinkt darin über einige Ecken auch die Erklärung, keinerlei Daten außer dem Netzwerk-Namen, der empfangenen Signalstärke und des WLAN-Standards zu notieren. Trotzdem regt Bursztein an, Microsoft solle seine Datenbestände mit ähnlichen Sicherungsmaßnahmen abschotten, wie Google das mittlerweile praktiziert.
[Update:Wie uns Microsoft inzwischen informierte, wird nicht der Netzwerk-Name, also die SSID gespeichert, sondern die für anderweitige Fragestellungen weniger aussagekräftige Mac-Adresse des vernetzten Endgeräts.]
(hps)