c't 13/2023
S. 25
Aktuell
Apple

Späte Einsicht

Wie Apple und Google gegen Stalking per Bluetooth-Tracker schützen wollen

Eine belastbare Technikfolgenabschätzung scheint es bei Apple nicht zu geben: So sieht sich der Konzern erneut gezwungen, bei seinen Bluetooth-Trackern nachzubessern, die wiederholt zur unerwünschten Personenverfolgung missbraucht wurden. Nun soll ein Branchenstandard das Stalking per Tracker eindämmen.

Von Dušan Živadinović

So gut wie alle technischen Erfindungen lassen sich missbrauchen. Aber wie bemisst man den Schaden, den Kriminelle durch Missbrauch einer gut gemeinten Erfindung anrichten? Apples Bluetooth-Tracker AirTag soll eigentlich nur helfen, verbummelte Gegenstände wie Schlüssel oder Geldbeutel über Crowdsourcing-Netzwerke wiederzufinden. Doch Kriminelle missbrauchen sie immer wieder, um Personen nachzustellen (Stalking). Aus Apples Sicht dürfte der Missbrauch viel Schaden angerichtet haben, denn die Firma bessert immer wieder nach, um Stalking zu erschweren.

Stalker missbrauchen Bluetooth-Tracker wie Apples AirTags, um Personen zu verfolgen. Nun planen Apple und Google eine Spezifikation, die jeglichen vernetzten Trackern Anti-Stalking-Funktionen auferlegen könnte.
Stalker missbrauchen Bluetooth-Tracker wie Apples AirTags, um Personen zu verfolgen. Nun planen Apple und Google eine Spezifikation, die jeglichen vernetzten Trackern Anti-Stalking-Funktionen auferlegen könnte.

Das ist so löblich wie ärgerlich, denn es gehört wenig Fantasie dazu, vor dem Produktstart eines Trackers zu erkennen, dass er sich zum Stalking missbrauchen lässt. Einige Vorkehrungen hatte Apple getroffen, aber sie griffen zu kurz. Beispielsweise soll ein eingebauter Lautsprecher akustisch vor der Schnüffelei warnen, aber er ließ sich einfach zerstören.

Nun soll ein gemeinsam mit Google entwickelter Branchenstandard besser als bisher vor Bluetooth-Trackern warnen, und zwar auf Android- und iOS-Smartphones. Dafür haben Mitarbeiter von Apple und Google einen Entwurf unter dem Dach der Internet Engineering Task Force veröffentlicht (siehe ct.de/yj9n). Er soll die Basis für Warnungen vor missbrauchten Bluetooth-Trackern verschiedener Hersteller legen, teilten die Unternehmen Anfang Mai mit. Die Tracker-Anbieter Samsung, Tile, Chipolo, eufy Security und Pebblebee haben ihre Unterstützung bereits zugesichert.

Die Spezifikation baut auf Mechanismen des AirTags auf, erklärt Apple. Dafür habe man neben anderen Herstellern auch Interessengruppen wie das National Network to End Domestic Violence konsultiert. Diese und andere Organisationen gegen häusliche Gewalt haben nach dem Verkaufsstart vor zwei Jahren eindringlich vor den Gefahren gewarnt und kritisiert, dass Apple kein externes Feedback eingeholt habe.

Der Hersteller besserte dann zwar mit Firmware-Updates nach, sodass fremde AirTags eher auf sich aufmerksam machen und auch dann, wenn etwa deren Lautsprecher zerstört wurde. Aber die Warnungen erhalten bislang vorrangig iPhones und helfen nur gegen AirTags, nicht aber gegen Stalking mit Trackern anderer Hersteller. Eine Android-App reichte Apple nach, doch diese arbeitet nicht im Hintergrund und schützt damit nicht automatisch.

Laut dem Entwurf sollen alle Tracker, die die Spezifikation umsetzen, im Verdachtsfall über Bluetooth Low Energy Smartphones in Reichweite auf sich aufmerksam machen (Advertising). Überhaupt sei unverschlüsselte Kommunikation über Bluetooth LE Pflicht, damit einen verdächtigen Tracker beliebige Nutzer abfragen können (non-owner unencrypted connection).

Gegen jegliche Tracker

Außerdem bezieht die Spezifikation jegliche Tracker ein, also auch Geräte, die ihre Position nicht nur über Bluetooth-Crowd-sourcing ermitteln, sondern auch über „GPS/GNSS, WLAN, Mobilfunk oder sonstwie“. Der fertige Branchenstandard könnte also generell gegen Stalking per Tracker helfen, sollten ihn Regulierer verpflichtend machen.

Tracker mit Stalking-Schutz müssen intern Buch darüber führen, ob ihre Position dem Besitzer über ein Netzwerk mitgeteilt worden ist (location-enabled state) und ob sie mit einem Gerät des Besitzers verbunden sind oder nicht (near-owner state oder separated state). Der Tracker muss spätestens nach 30 Minuten physischer Trennung vom Besitzergerät den separated state protokollieren und anderen Smartphones auf Nachfrage melden. Umgekehrt soll er den near-owner state spätestens 30 Minuten nach Wiederverbindung mit Besitzergeräten protokollieren.

Die Autoren warten nun einige Monate lang auf Verbesserungsvorschläge. Bis Ende des Jahres soll die Spezifikation festgeklopft und dann in künftigen iOS- und Android-Versionen umgesetzt werden. Doch eine große Lücke bleibt: Nutzer ohne Smartphone sind auch Trackern mit Anti-Stalking schutzlos ausgeliefert. (dz@ct.de)

Anti-Stalking-Spezifikation: ct.de/yj9n

Kommentare lesen (3 Beiträge)