computerwoche.de

Security

"CNET"

Street-View-Autos haben MAC-Adressen von PCs und Smartphones erfasst

25.07.2011
Von 
Thomas Cloer war Redakteur der Computerwoche.
Alle Posts des Autors Connect:
Die Kamera-Autos von Google haben nicht nur versehentlich WLAN-Traffic mitgeschnitten, sondern auch die Hardware-Adressen von Millionen Rechnern und Mobiltelefonen in Funknetzen.

Das berichtet der US-Branchendienst "CNET" unter Berufung auf die französische Datenschutzbehörde CNIL, an die Google im März dieses Jahres bereits 100.000 Euro Strafe zahlen musste.

Die MAC-Adressen der Geräte fanden sich anschließend in der Geolocation-Datenbank von Google und waren bis Ende Juni via API für jedermann öffentlich abrufbar. Die Eingabe eine bekannten solchen Hardware-ID zeigte den Aufenthaltsort des jeweiligen Geräts an und konnte somit personenbezogene Daten wie die Privat- und Büroadresse oder die besuchter Restaurants preisgeben.

"CNET" hatte bereits Mitte Juni über Forschungsergebnisse des Sicherheitsexperten Ashkan Soltani berichtet, der als erster MAC-Adressen in der Ortsdatenbank von Google entdeckt und kritisiert hatte, dass man nicht via Opt-out deren Erfassung widersprechen kann.

MAC-Adressen bestimmter Geräte sind allerdings nicht ohne Weiteres herauszufinden, da sie generell nicht in Internet-Paketen übertragen werden. Innerhalb der Funknetz-Reichweite kann man sie allerdings auslesen und dann beispielsweise relativ leicht nach Geräteherstellern sortieren. Und wer zum Beispiel eifersüchtig seine Freundin überwachen will, bekommt die MAC-Adresse von deren iPhone in den allgemeinen Einstellungen des Geräts angezeigt (falls er das Gerät denn unbeaufsichtigt in die Finger bekommt).

Google hat bislang nicht zu den aktuellen Vorwürfen einer zumindest in der Vergangenheit systematischen (ob absichtlich oder versehentlich sei dahingestellt) Erfassung von MAC-Adressen - mittlerweile "crowdsourct" der Konzern seine Location-Datenbank an Android-Freiwillige - Stellung genommen. Vor einiger Zeit hatte der Konzern allerdings schon folgendes Statement abgegeben, das uns die deutsche Sprecherin Lena Wagner nochmals übersandt hat:

"Standort-basierte Dienste bieten sowohl Nutzern als auch der Wirtschaft einen enormen Nutzen. Um diese Dienste anbieten zu können, erfassen Google und viele weitere Unternehmen nah gelegene und öffentlich zugängliche Signale von WLAN-Zugangspunkten und Mobilfunkmasten und nutzen diese, um schnell eine grobe Position bestimmen zu können. Das kann erreicht werden, indem Informationen herangezogen werden, die öffentlich übertragen werden. Dazu zählt auch die Liste der WLAN-Zugangspunkte, die man beispielsweise sieht, wenn man auf dem Computer die Funktion “nach WLAN Netz suchen” ausführt, als auch die MAC Adressen der WLAN-Zugangspunkte.

Wir erheben die öffentlich übertragenen MAC Adressen von WLAN-Zugangspunkten. Wenn ein Nutzer kabelloses Tethering auf seinem Mobilgerät aktiviert hat, wird dieses Gerät zum WLAN-Zugangspunkt. Dadurch wird die MAC Adresse eines solchen WLAN-Zugangspunkts gegebenenfalls in die Datenbank aufgenommen. WLAN-Zugangspunkte, die häufig ihren Standort wechseln, sind für unsere standort-basierten Dienste nicht von Nutzen, weswegen wir verschiedene Maßnahmen durchführen, um diese zu verwerfen."

Marc Rotenberg vom EPIC in Washington jedenfalls bezweifelt, dass es rechtens ist, die Hardware-Adressen von Geräten in Wi-Fi-Netzen zu erfassen. "Die Tatsache, dass andere Firmen wie Skyhook [von dieser bezog Apple früher seine Ortsdaten, Anm. d. Red.] so etwas ebenfalls gemacht haben, was Googles beste Verteidigung zu sein scheint, macht es noch lange nicht legal", so Rotenberg. "Es sieht aus, als gäbe es bei Street View noch mehr zu untersuchen."

In den USA hatte die Federal Trade Commission (FTC) ihre Untersuchung der versehentlich von Google bei der Street-View-Kartografierung erfassten Daten ohne Strafe im Oktober vergangenen Jahres eingestellt.