Wirbel um Bewegungsprofile im iPhone und iPad

Inhaltsverzeichnis

Eine Woche vor Ostern publizierten der Entwickler Pete Warden und der Wissenschaftler Alasdair Allan ihre brisante Entdeckung: Das iPhone schreibt die Aufenthaltsorte seines Nutzers in eine riesige Datei, die automatisch im Backup auf dem PC des Nutzers landet. Die Datei ist weder verschlüsselt noch anderweitig gegen unbefugten Einblick gesichert, komplett abschalten lässt sich diese Datensammlung nicht. Ein Programm zum Anzeigen der Bewegungsdaten lieferten Warden und Allan auch gleich mit (siehe c’t-Link am Ende dieses Artikels), und tatsächlich lassen sich damit beeindruckend detaillierte Reisetagebücher erstellen.

Obwohl die Entdecker schrieben, dass es keine Beweise dafür gebe, dass die Daten an Apple geschickt werden, machte schnell die Meldung die Runde, dass Apple wisse, wo seine Kunden sind und dass Werbetreibende diese Daten bekämen. Auch tauchten bald Analysen auf, dass Apple nicht der einzige Böse sei, sondern dass Google von Android-Nutzern das Gleiche sammle, ebenso Microsoft mit Windows Phone 7.

Es dauerte eine Woche, bis Apple öffentlich reagierte und in einer Pressemeldung erklärte, wie die fraglichen Daten entstanden sind. Zudem räumte Apple drei Fehler ein und kündigte ein Update für iPhone und iPad an, das sie beheben soll. Ein Teil der Vorwürfe gegen Apple ist demnach nicht haltbar, denn sie gehen am Kern des Problems vorbei.

Sollzustand

Der Reihe nach: Das iPhone schickt seinen Aufenthaltsort samt Informationen über in der Nähe befindlichen WLANs und Mobilfunkzellen tatsächlich an Apple. Das ist schon länger bekannt und steht in den Nutzungsbedingungen, die jeder Nutzer bestätigen muss, der per iTunes Apps herunterladen will – die aber wohl keiner komplett liest. Die jetzt entdeckten Probleme betreffen aber gar nicht diesen Vorgang. Warden und Allan werfen Apple auch nicht vor, beim Umgang mit den so empfangenen Ortsdaten Fehler zu machen. Die Probleme treten woanders auf, nämlich beim Sammeln der Daten auf dem iPhone. Ein Blick auf die von Apple gespeicherten Daten hilft beim Verständnis der Sachlage.

Apple hat im Juli 2010 auf eine Anfrage von US-Senatsmitgliedern sehr genau dargelegt, welche Informationen wie und wofür gesammelt werden (siehe c’t-Link ). Demnach pflegt Apple auf seinen Servern vier Datenbanken mit ortsbezogenen Informationen: In einer Datenbank stehen die Koordinaten von WLANs und Mobilfunkzellen. Apple nutzt zur Pflege dieser Datenbank die anonymisierten Daten der Nutzer. In der Datenbank landet keine Information, die einen Rückschluss über Nutzer erlaubt.

Die zweite Datenbank enthält Diagnoseinformationen von zufällig ausgewählten Anwendern, die dieser Nutzung nochmals explizit zustimmen müssen. Die dritte enthält die Aufenthaltsorte von Nutzern in einer anonymisierten Form, die keinen Rückschluss auf konkrete Personen zulässt. Als Zweck für diese Datenbank nennt Apple „beispielsweise“ die Analyse der Verkehrsdichte.

In der vierten Datenbank notiert Apple, welcher Nutzer welche iAd-Werbeanzeige bekommen hat. Die iAd-Werbung ist ortsbezogen, doch Apple will sichergestellt haben, dass der Werbetreibende keinerlei Information über einzelne Anwender bekommt, insbesondere nicht den Aufenthaltsort.

Die Gemeinsamkeit mit Google und Microsoft ist, dass die beiden ebenfalls Datenbanken mit den Koordinaten von WLANs und Mobilfunkzellen pflegen und dazu auf die Ortsdaten ihrer Smartphone-Nutzer zugreifen. Laut ihrer Nutzungsbedingungen speichern auch Google und Microsoft die Daten anonymisiert und erstellen kein Bewegungsprofil, aber sie haben ihre Interna nicht ähnlich detailliert wie Apple offengelegt. Es gibt keinen Hinweis, dass Apple, Google oder Microsoft mehr Daten speichern als angegeben, dass sie bei der Anonymisierung schlampen oder dass sie Unbefugten Zugriff auf die Daten gewähren.

Zu viel gespeichert

Apples Fehler finden auf dem iPhone selbst statt und sind unabhängig vom Versenden der Daten. Gleich drei Fehler hat Apple eine Woche nach Bekanntwerden des Problems eingeräumt. Der erste Fehler ist, dass eine im iPhone intern genutzte Datenbank unverschlüsselt auf dem PC landet, mit dem das iPhone synchronisiert wird. Der zweite Fehler ist, dass diese Datenbank überhaupt so groß wird, wie sie ist.

Der dritte Fehler betrifft das Abschalten der Ortung. Vorgesehen ist (bei Apple, Google und Microsoft), dass das Smartphone seine Positionsdaten nicht wegschickt, wenn der Nutzer die Ortungsdienste ausschaltet. Das geht mit Funktionseinschränkungen einher, beispielsweise kann Maps dann nicht mehr anzeigen, wo sich der Anwender befindet. (Dass das Ermitteln des Standorts an das Wegschicken der Daten gekoppelt ist, erschließt sich aus technischer Sicht nicht, aber das ist ein anderes Thema …)

Dieses Abschalten funktioniert beim iPhone nicht richtig: Die Datenbank wächst auch dann, wenn der Nutzer die Ortungsdienste in den Einstellungen ausschaltet. Allerdings wächst sie unseren Untersuchungen zufolge weitaus weniger als bei eingeschalteter Ordnung, und nur unter selten eintretenden, von uns nicht genau nachvollziehbaren Bedingungen.

Die fragliche Datei landet im iPhone-Backup, unter Windows normalerweise in einem Verzeichnis unter C:\Users\<Windows-Benutzername>\AppData\Roaming\Apple Computer\MobileSync\Backup. Dort legt iTunes für jedes synchronisierte Gerät ein Unterverzeichnis an, zu erkennen ist es am einfachsten anhand des Datums der letzten Synchronisierung. Um welche Datei aus dem Backup es sich handelt, ermitteln gewisse Tools, oder man sucht diejenige Datei, die den String „CellLocation“ enthält. Sie ist eine SQL-Datenbank, die man sich mit jedem halbwegs modernen Viewer wie dem SQLite Database Browser 2.x anschauen kann.

Diese Datenbank enthält kein vollständiges Bewegungsprofil des Anwenders, sondern die Koordinaten von WLAN-Routern und Mobilfunkzellen in der Nähe des Anwenders zusammen mit einem Zeitstempel. Jede dieser Funkzellen findet sich nur einmal in der Datenbank – egal, wie oft man sich dort aufgehalten hat – und es werden unter Umständen Zellen gespeichert, in dessen Nähe der Anwender nicht war. Der genaue Aufenthaltsort des Nutzers selbst ist nicht verzeichnet. Insbesondere handelt es sich nicht um eine Datenbank mit Aufenthaltsorten und Zeitstempeln derart, wie Apple sie im Patent „Location Histories For Location Aware Devices“ beschrieben hat, das in diesem Zusammenhang manchmal erwähnt wurde. Spuren der anderen Ortungsdaten (Diagnose, GPS-Daten, iAd-Daten) wurden nicht im iPhone-Backup gefunden.

WLANs werden über die MAC-Adresse ihres Routers identifiziert – sie ermöglicht keinen Rückschluss auf den Betreiber –, Mobilfunkzellen über die drei Einträge MCC (eine Landeskennung), MNC (Provider-Kennung) und LAC/CI (vom Provider verwaltet). Für die Funkzellen des in Europa nicht genutzten CDMA-Standards steht eine weitere Identifikationsmethode bereit.

Tabellenanalyse

Apple sagt in der Pressemitteilung zu diesen Vorwürfen, wozu die Datenbank dient: zur schnelleren Ortung des Handys. Statt mehrere Minuten auf eine GPS-Ortung zu warten, ermittelt das iPhone seinen Standort per Triangulation aus den Koordinaten und den Empfangsstärken der WLAN- und Funkzellen seiner Umgebung, und eben diese Koordinaten schlägt es in der Datenbank nach.

Wie die Kommunikation funktioniert, geht aus dem Brief vom Juni 2010 hervor. Demnach schickt das iPhone seine GPS-Koordinaten und eine Liste der empfangenen Funkzellen an Apple, sobald eine App die Position des Handys ermitteln möchte und sofern man per WLAN mit dem Internet verbunden ist. Apple schickt daraufhin die Koordinaten dieser Zellen zurück, und zusätzlich noch die IDs und Koordinaten von weiteren WLAN- und Mobilfunkzellen in der Nähe. Ist das iPhone nur per UMTS verbunden, speichert das iPhone die Anfrage und schickt sie alle 12 Stunden per WLAN an Apple – zur Ortung dienen sie dann nicht mehr, sondern nur zur Pflege der Datenbank.

Diese Beschreibung scheint allerdings nicht mehr ganz aktuell zu sein, denn wir fanden in den Datenbanken der Redaktionsgeräte einige Ortungsdaten, die wir uns kaum anders erklären können, als dass das iPhone auch dann sammelt, wenn keine App die Ortsdaten abruft.

Was genau der zu jedem WLAN- und Mobilfunk-Standort gespeicherte Timestamp zu bedeuten hat, verrät Apple nicht. Es handelt sich jedenfalls nicht um den genauen Zeitpunkt, wann man dort war, sondern eher, wann das iPhone den nächsten Block an Anfragen zusammengestellt oder losgeschickt hat – auffällig oft tauchen im Abstand von genau 30 Minuten Hunderte von Mobilfunkzellen mit identischem Timestamp auf.

Kein Bewegungsprotokoll

Ein vollständiges Bewegungsprotokoll lässt sich aus den Daten nicht ermitteln, weil jede Funkzelle nur einmal auftaucht. Der Zeitstempel besagt, dass man möglicherweise zu diesem Zeitpunkt oder kurz vorher zum ersten Mal dort war. Die Koordinaten erfahren aber auch ab und zu Updates, wenn die Standorte sich geändert haben. Der alte Eintrag wird dann überschrieben, der alte Zeitstempel ist verloren. Der Zeitstempel kann also auch bedeuten, dass der Anwender zu diesem Zeitpunkt (beziehungsweise kurz vorher) das letzte Mal in der Nähe war.

Der Anwender muss sich noch nicht einmal in der Nähe einer Zelle befunden haben. Besonders unter den WLAN-Ortungen fanden sich bei unseren Untersuchungen interessante Ausreißer: So sollte ein Redaktions-iPhone zum gleichen Zeitpunkt in Hannover, Düsseldorf, Barcelona, Darmstadt und Neu Delhi gewesen sein, und zwar bei genauem Hinsehen auf den Messegeländen in Hannover, Düsseldorf und Barcelona, in der Nähe einer Motorola-Niederlassung in Indien und in einer Hochschule in Darmstadt. Des Rätsels Lösung: Der Redakteur spazierte an diesem Tag über die CeBIT, sodass das iPhone vermutlich in den Empfangsbereich diverser WLAN-Router kam, die noch mit einem früheren Standort in der Apple-Datenbank erfasst waren. Apple hat in der Antwort auf die Ortungsanfrage dann offensichtlich WLANs mitgeschickt, die in der Nähe des alten Standorts stehen, so kamen wir auf Dutzende spanische WLANs im Kreis um das Messegelände.

Die Mobilfunk-Standorte enthielten Sender, die Dutzende Kilometer entfernt waren, was kaum mit besonders guten Reichweiten dieser Sender zu erklären war. Möglicherweise war auch hier die Tabelle veraltet, schließlich stellen die Provider ihre Funkzellen ab und zu an neuen Orten auf. Denkbar sind auch andere Erklärungen wie Besonderheiten in dem Algorithmus, der entscheidet, welche Mobilfunkzellen im Umfeld dem Smartphone mitgeteilt werden.

Dennoch ergaben unsere Datenbanken einen erschreckend guten Eindruck davon, wo die Nutzer sich aufgehalten haben – je seltener sie eine Gegend besuchten, desto detaillierter war das Protokoll.

Damit ein Angreifer an die Daten kommt, muss er Zugang zum PC oder zum iPhone des Nutzers haben, anders kommt er nicht an die Daten. In beiden Fällen findet der Angreifer dort zusätzlich meist weit brisantere Daten, beispielsweise Mailzugänge, Kreditkarten- und Kontoinformationen, sämtliche Fotos. Selbst die lückenhaften Bewegungsdaten mögen aber für eifersüchtige Partner, Scheidungsanwälte, misstrauische Chefs oder missgünstige Kollegen ein wertvolles Angriffsziel sein.

Ausblick

Apple hat angekündigt, alle genannten Fehler zu beseitigen. In einem künftigen Update für iPhone und iPad sollen vier Maßnahmen ergriffen werden: Das Backup der Datenbank landet nicht mehr auf dem PC; Einträge, die älter als eine Woche sind, werden aus der Datenbank gelöscht; der Fehler wird behoben, dass auch bei abgeschalteter Ortung der obige Mechanismus teils weiter läuft; beim Ausschalten der Ortung soll zudem die bisherige Datei komplett gelöscht werden. In einem zweiten, späteren Update will Apple die Datenbank auf dem iPhone selbst verschlüsseln – ein Schutz gegen Angriffe per Jailbreak.

Bis das erste Update eingetroffen ist – was bis zum Redaktionsschluss nicht der Fall war –, können Nutzer sich nicht komplett gegen das Datensammeln wehren. Setzt man das Handy auf Werkseinstellungen zurück, verschwindet die Datenbank zwar. Direkt nach dem Aktivieren und Einrichten einer Internetverbindung beginnt das iPhone aber wieder mit dem Sammeln.

Besonders bedenklich ist, dass das fehlerhafte Nicht-Abschalten der Datensammlung überhaupt nur durch den Fehler aufgefallen ist, dass die Datenbank unverschlüsselt im Backup liegt. Das wirft kein gutes Licht auf den Umgang mit vertraulichen Daten und den Ernst, mit dem sich die Hersteller dem Datenschutz widmen. Es ist zu befürchten, dass irgendwann ein größerer Unfall auch mit den bei Apple, Google oder Microsoft gespeicherten Daten passiert – ähnlich dem Sony-Hack (siehe Seite 22 ). Wenn dann noch ein Fehler bei der Anonymisierung der Daten passiert, stehen Millionen von Bewegungsprofilen den Angreifern offen. Betroffen sein können auch andere Dienstleister, beispielsweise bekommen die Betreiber von Live-Traffic-Diensten wie TomTom und Navigon auch anonymisierte Bewegungsinformationen, und die Mobilfunk-Provider haben sogar den Handynutzern eindeutig zuzuordnende Bewegungsprofile. Und dass zwei kritische Fehler auf einmal passieren können, hat Apple nun bewiesen.

www.ct.de/1111018 (jow)