Überwachung - Smartphone ohne GPS und WLAN geortet

Das Team der Universität Princeton bestehend aus den Sicherheitsexperten Arsalan Mosenia, Xiaoliang Dai, Prateek Mittal und Niraj Jha hat eine PinMe genannte Technik entwickelt, mit der sie ohne GPS oder WLAN-Daten zu besitzen den Standort von Smartphones bestimmen kann. Außerdem ist es möglich Bewegungen der Nutzer aufzuzeichnen und Bewegungsmuster daraus zu erstellen. Sie nutzen dafür Daten, die beliebige Apps erhalten ohne, dass sie dafür erweiterte Rechte auf dem Smartphone brauchen. Das Ziel ihrer Entwicklung war es vermehrt auf das Problem aufmerksam zu machen. Das Team wollte so zeigen, dass bereits öffentlich verfügbare Daten ausreichen, um Nutzer weitreichend zu überwachen. Sie wollen so für mehr Transparenz und schlussendlich zu einer Verschärfung der Datenschutzrichtlinien führen.

Verschiedene Daten kombiniert

Zur Ermittlung des Standorts greifen die Forscher auf Sensor- und nicht Sensordaten zurück. Zu den Sensordaten, die auf dem Smartphone gespeichert sind, zählt das Team das Barometer und den Kompass. Nicht Sensordaten sind Angaben wie die Zeitzone aber auch der Netzwerkstatus und die IP-Adresse des Mobilfunkanbieters, über den das Smartphone mit dem Internet verbunden ist. Eine Kombination dieser Daten ergibt zusammen mit Flugplänen, Plänen öffentlicher Verkehrsmittel sowie Landkarten den Standort und die Route der Smartphone-Nutzer.

Test auf dem iPhone 6 und dem Samsung Galaxy S4

Die PinMe Technologie wurde im Versuch sowohl auf einem iPhone 6, iPhone 6S als auch einem Samsung Galaxy S4 erprobt. Sie ist also nicht auf ein bestimmtes Betriebssystem beschränkt, sondern funktioniert auf beiden großen mobilen Systemen gleichermaßen. Die Forscher gingen von der These aus, dass die Daten von einer schädlichen App ohne Wissen oder Zutun der Nutzer gesammelt werden. Dies könnte beispielsweise eine Fitness-App sein, die um Benutzerdaten zu tracken umfangreiche Daten sammelt, hochlädt und auf dem Server der Betreiber weiterverarbeitet.

Zugriff auf die dafür nötigen Daten wie die Zeitzone, die IP und das Netzwerk, haben schädliche Apps auch ohne ausdrückliche Erlaubnis der Benutzer. Auch die vom Kompass, Barometer und Beschleunigungssensor ständig erhobenen Daten sind aktuell nicht durch Berechtigungen dafür geschützt, von beliebigen Apps ausgelesen zu werden. Daten von OpenStreetMap, Google Maps, OpenFlights und andere Fahrpläne können oft über freie Apis ebenfalls beliebig ausgelesen werden ohne, dass der Nutzer davon erfährt.

Allein die IP-Adresse reicht für eine erste grobe Lokalisierung bereits aus. Durch die Barometerdaten kann erkannt werden, ob der Nutzer grade aus einem Flugzeug steigt. Ein weiterer Abgleich mit den Flugplänen in der Nähe der IP-Adresse ergibt dann den konkreten Flug und den Flughafen, an dem sich der Nutzer aufhält. In einem Testlauf konnte PinMe alle Personen genau ihren Flügen und Flughäfen zuordnen.

Der Kompass zeigt dann zuverlässig an, wie sich der Nutzer nun weiterbewegt. Minimale Richtungsänderungen deuten sicher auf einen Zug hin. Ein weiterer Fahrplanabgleich kann hier helfen, um das Ziel der Reise vorherzusagen. Auch Ziele von Autofahrten ließen sich relativ genau vorhersagen. Umso länger die Strecke ist, umso genauer wurden auch die Vorhersagungen der App.

Das Team verlangt als Reaktion auf ihre Enthüllung von den Smartphone-Herstellern sämtliche Sensoren deaktivierbar zu machen. Ansonsten wäre ein privater Modus akzeptabel, bei dem die Daten weniger genau gespeichert werden. Auch dies würde eine Technik wie PinMe nicht mehr ausreichend genau arbeiten lassen, um sie in der Praxis zur Verfolgung von Personen einzusetzen.