Da waren es so tolle Schlagzeilen! Bewegungsprofile sollten angeblich erstellt werden können, die totale Überwachung! Vergleiche wurden gemacht mit den letzten Skandalen von Google und Apple, deren Fans sich gleich beschwerten, dass der Aufschrei bei “ihrem” Problem viel größer gewesen wäre. Nun – zurecht.
Zur Erinnerung, das Problem bei Apple und Google war ja nicht, dass die Daten generell gesammelt werden, sondern das WIE, wie auch Wolfgang Tonninger in einer Reaktion auf WindowsBlog feststellt.
Hier noch mal die Kurzfassung:
- Apple: lokal auf den Gerät wurden die gefunden WLANs und Funktürme so in einer Datenbank gespeichert, dass es problemlos möglich war, ein (mehr oder minder) genaues Bewegungsprofil des Benutzers zu erhalten. Die entsprechende Datei landete auch auf jedem PC/Mac, der zur Sicherung eingesetzt wird.
- Google: Deren StreetView Autos haben den gesamten WLAN Traffic mitgeschnitten, das heißt inklusive E-Mails, Passwörter usw… was eben gerade so herumgeschwirrt ist.
Lustigerweise argumentierten beide Unternehmen mit “Programmierfehlern”. Ja klar, kaum kommentiert man mal eine Variable nicht aus, schon schneidet man den ganzen WLAN Traffic mit. Ist mir auch schon oft passiert.
Der Vorwurf nun an Microsoft war, dass man Bewegungsprofile überhaupt aus der Entfernung machen könnte. Jedem mit einem gewissen technischen Verständnis hätte auffallen können, dass das so nicht stimmen kann – und so auch nicht vom Original-“Finder” der Schwachstelle, Elie Bursztein, behauptet.
Meine Theorie ist ja folgende: durch mangelndes technisches Verständnis haben da so manche (meist voneinander abschreibende und schlecht übersetzende) Autoren folgenden Fehler gemacht: sie haben die Fragestellung über die offene Datenbank vermischt mit dem geplanten Black Hat Vortrag von Elie Bursztein. Da geht es nämlich tatsächlich um das Nachvollziehen der Position eines Laptops, basierend auf der gespeicherten, lokalen Information. Das ist etwas, das in der Computer-Forensik nicht unbekannt aber auch spannend ist! Hat nur nichts mit der Standortdatenbank der Access Points zu tun, die – so der eigentliche Vorwurf – nicht weiter gesichert ist und bei Angabe einer MAC-Adresse eines Access Points den Standort liefert.
Nun, wie hat also Microsoft reagiert? Wie es den Anschein hat: clever. Sie haben Bursztein kontaktiert (das macht sich immer gut) und dann die Abfrage geändert:
Microsoft released a change to its geographic location positioning service on July 30, 2011, which addresses an issue highlighted in Elie Bursztein's blog on July 29, 2011. This change adds improved filtering to validate each request so that the service will no longer return an inferred position when a single Media Access Control address is submitted. Microsoft is keenly aware of the sensitivity around all privacy issues, especially those surrounding geolocation.
Quelle: Microsoft Makes Change to Geographic Location Positioning Service
Kreative Lösung. Die Datenbank gibt es nach wie vor, die Abfragen ebenso, aber man braucht nun eben zwei MAC Adressen und nicht mehr eine. Aber offenbar sind nun alle zufrieden. Klar, die entsprechenden “Fixed”-Artikel in den verschiedenen Medien sind nun nicht mehr die jeweiligen Haupt-Teaser sondern wie bei “Oh, doch nix”-Artikeln üblich irgendwo dazwischen versteckt.
So auch bei Heise, Original-Meldung war Top-Meldung (300 Kommentare), die zweite Meldung “Microsoft bessert nach” steht unter ferner liefen (6 Kommentare derzeit). WebStandard gleichlautend. Selbstverständlich steht in keinem Artikel, dass die Identifizierung von Benutzern (bzw. PCs oder Smartphones) oder gar das Erstellen von Benutzerprofilen, zu keinem Zeitpunkt möglich war.
Das Gefahrenpotential war ungefähr so: wenn ich weiß, dass die Adresse “Mariahilferstraße 27” ist, dann weiß ich dass die Adresse “Mariahilferstraße 27” ist.
Case closed.