iPhone-Positionsdaten enthalten kein vollständiges Bewegungsprofil

Die seit Gründonnerstag brodelnde Geschichte um Apples iPhone-Tracking verliert beim genauen Blick auf die Datenbank etwas an Brisanz: Sie enthält kein vollständiges Bewegungsprofil des Anwenders, sondern speichert jeden Aufenthaltsort nur einmal ab – und es werden unter Umständen Orte gespeichert, die der Anwender nicht besucht hat. Somit lässt sich nicht mit Sicherheit feststellen, wo der Anwender war. Brisant bleibt allerdings, dass sich das Erstellen dieser Datei nicht abschalten lässt und dass sie ohne weitere Maßnahmen unverschlüsselt auf dem PC des Anwenders landet.

Die Datenbank enthält im Wesentlichen zwei Tabellen, eine mit WLAN-Routern und eine mit Mobilfunksendern, denen jeweils eine Koordinate und ein Zeitstempel zugeordnet ist. Die WLANs werden über ihre MAC-Adresse identifiziert, die Mobilfunkzellen über die vier Einträge MCC, MNC, LAC und CI, z. B. MCC=262 für Deutschland, MNC=1 für Telekom, und LAC/CI vergeben die Provider nach eigenem Gutdünken.

Jede WLAN- und Mobilfunkzelle kommt nur einmal in der Datenbank vor. Die Einträge werden ab und zu aktualisiert, sie bekommen dabei den Zeitstempel des letzten Updates. Der Zeitstempel bedeutet also nur, dass das iPhone diesen Eintrag zu diesem Zeitpunkt das letzte Mal aktualisiert hat. Wann der Anwender vor diesem Zeitpunkt schon einmal im Bereich dieser Funkzelle oder dieses WLANs war, lässt sich der Datenbank nicht entnehmen, ebensowenig, ob er später nochmals dort war.

Auch muss sich der Anwender nicht unbedingt in der Nähe dieser Orte befunden haben, besonders bei WLAN-Ortungen fanden sich bei den Untersuchungen durch die c't-Redaktion interessante Ausreißer: So sollte ein iPhone zum gleichen Zeitpunkt in Hannover, Düsseldorf, Barcelona, Darmstadt und Neu Delhi gewesen sein, und zwar bei genauem Hinsehen auf den Messegeländen in Hannover, Düsseldorf und Barcelona, in der Nähe einer Motorola-Niederlassung in Indien und in einer Hochschule in Darmstadt. Des Rätels Lösung: Der iPhone-Nutzer spazierte an diesem Tag über die CeBIT, sodass das iPhone möglicherweise in den Empfangsbereich diverser WLAN-Router kam, die noch mit falschen GPS-Daten in der Apple-Datenbank erfasst waren. (Genau um diese Datenbank zu pflegen, sammelt Apple ähnlich wie auch Google bei Android und Microsoft bei Windows Phone 7 schon länger anonymisiert die Ortungsdaten.)

Die Mobilfunkorte in unserer iPhone-Datenbank stimmten zwar besser mit dem aktuellen Standort überein, aber Ausreißer, die kaum mit besonders guten Sendeleistungen der Zelle zu erklären sind, fanden wir auch in dieser Tabelle. Möglicherweise war auch hier die Tabelle veraltet, schließlich stellen die Provider ihre Funkzellen ab und zu an neuen Orten auf. Denkbar sind auch andere Erklärungen wie Besonderheiten im Algorithmus, der entscheidet, welchen Schwung umgebende Mobilfunkzellen vielleicht aus anderen LAs dem Smartphone mitgeteilt werden.

Der Zeitstempel erlaubt ebenfalls nur beschränkte Rückschlüsse, weil mit jedem Update der Datenbank direkt ein riesiger Schwung an Einträgen neu geschrieben wird. So hat ein iPhone der Redaktion in einem Update über 430 aktualisierte WLAN-Standpunkte und über 120 aktualisierte Funkzellen (im Umkreis von wenigen hundert Metern um die Redaktion) mitgeteilt bekommen – und alle haben den gleichen Zeitstempel. Dabei bekommen nicht alle WLAN- und Mobilfunkzellen ein regelmäßiges Update. So blieben einige WLAN-APs unseres hausinternen Netzes seit Monaten ohne Update, während der kleine AP, über den wir das iPhone das allererste Mal überhaupt aktivierten, gerade am Dienstagnachmittag eine Aktualisierung bekam.

Der Zeitstempel beschreibt also nicht, wann der Anwender das erste Mal an einer Stelle war, denn der Datenbankeintrag kann ein Update sein. Er beschreibt auch nicht, wann man zuletzt dort war, denn nicht alle Zellen bekommen regelmäßige Updates. Man muss nicht einmal überhaupt an diesem Ort gewesen sein, denn sowohl WLAN- wie auch Mobilfunkeinträge können von ganz anderen Orten stammen. Lediglich ein Schluss ist möglich: Wenn mehrere Ortungen über einen längeren Zeitraum einen halbwegs schlüssigen Pfad ergeben, dann ist das iPhone höchstwahrscheinlich über diesen Pfad getragen worden – vielleicht nicht zum ersten, und vielleicht nicht zum letzten Mal.

Tatsächlich bleiben genügend alte Zellen ohne Aktualisierung, um über lange Phasen einen guten Eindruck über die Bewegungen zu geben. Je seltener man eine Gegend besucht, desto detaillierter das Protokoll. Ein Angreifer hat eine weitere Möglichkeit: Er muss regelmäßig Zugriff auf den Rechner des Opfers haben und die Datenbank mitnehmen. Aus dem Vergleich der Datenbanken lassen sich dann einige Schlüsse ziehen, wenn auch immer noch keine vollständigen Bewegungsprofile erzeugen.

Abschalten lässt sich das Aktualisieren der Datenbank nach den Tests der c't-Redaktion und den vorliegenden Informationen nicht. Selbst wenn man die Ortungsdienste in den Einstellungen ausschaltet, landen ab und zu Updates in der Datenbank – unserem Eindruck nach aber auch deutlich seltener als bei eingeschalteten Ortungsdiensten. Diese Updates erlauben dann wieder mit den obigen Einschränkungen ein grobes Bewegungsprofil.

Immerhin gibt es mindestens zwei Wege, das iPhone beispielsweise vor einem Verkauf so zu löschen, dass die Datenbank verschwindet: Wir haben es per Löschen über iTunes und per zehnmaliger Eingabe eines falschen Codes (vorher Einstellungen/Allgemein/Code-Sperre/Daten löschen aktivieren) geschafft, die Datei loszuwerden. Aber Achtung: Direkt nach dem Aktivieren und dem Einrichten einer Internetverbindung beginnt das iPhone wieder mit dem Einspielen von GPS-Updates, sodass nach wenigen Minuten hunderte WLANs und Mobilfunkzellen aus der Nachbarschaft gespeichert sind. (jow)