Ein Blog rund um Microsoft Windows und allem, was sonst noch so anfällt...

Ortungsdaten – Nicht existierendes Problem gelöst

von Georg Binder 2. August 2011 19:21

Da waren es so tolle Schlagzeilen! Bewegungsprofile sollten angeblich erstellt werden können, die totale Überwachung! Vergleiche wurden gemacht mit den letzten Skandalen von Google und Apple, deren Fans sich gleich beschwerten, dass der Aufschrei bei “ihrem” Problem viel größer gewesen wäre. Nun – zurecht.

Zur Erinnerung, das Problem bei Apple und Google war ja nicht, dass die Daten generell gesammelt werden, sondern das WIE, wie auch Wolfgang Tonninger in einer Reaktion auf WindowsBlog   feststellt.

Hier noch mal die Kurzfassung:

  • Apple: lokal auf den Gerät wurden die gefunden WLANs und Funktürme so in einer Datenbank gespeichert, dass es problemlos möglich war, ein (mehr oder minder) genaues Bewegungsprofil des Benutzers zu erhalten. Die entsprechende Datei landete auch auf jedem PC/Mac, der zur Sicherung eingesetzt wird.
  • Google: Deren StreetView Autos haben den gesamten WLAN Traffic mitgeschnitten, das heißt inklusive E-Mails, Passwörter usw… was eben gerade so herumgeschwirrt ist.

Lustigerweise argumentierten beide Unternehmen mit “Programmierfehlern”. Ja klar, kaum kommentiert man mal eine Variable nicht aus, schon schneidet man den ganzen WLAN Traffic mit. Ist mir auch schon oft passiert.

Der Vorwurf nun an Microsoft war, dass man Bewegungsprofile überhaupt aus der Entfernung machen könnte. Jedem mit einem gewissen technischen Verständnis hätte auffallen können, dass das so nicht stimmen kann – und so auch nicht vom Original-“Finder” der Schwachstelle, Elie Bursztein, behauptet.

Meine Theorie ist ja folgende: durch mangelndes technisches Verständnis haben da so manche (meist voneinander abschreibende und schlecht übersetzende) Autoren folgenden Fehler gemacht: sie haben die Fragestellung über die offene Datenbank vermischt mit dem geplanten Black Hat Vortrag von Elie Bursztein. Da geht es nämlich tatsächlich um das Nachvollziehen der Position eines Laptops, basierend auf der gespeicherten, lokalen Information. Das ist etwas, das in der Computer-Forensik nicht unbekannt aber auch spannend ist! Hat nur nichts mit der Standortdatenbank der Access Points zu tun, die – so der eigentliche Vorwurf – nicht weiter gesichert ist und bei Angabe einer MAC-Adresse eines Access Points den Standort liefert.

Nun, wie hat also Microsoft reagiert? Wie es den Anschein hat: clever. Sie haben Bursztein kontaktiert (das macht sich immer gut) und dann die Abfrage geändert:

Microsoft released a change to its geographic location positioning service on July 30, 2011, which addresses an issue highlighted in Elie Bursztein's blog on July 29, 2011.  This change adds improved filtering to validate each request so that the service will no longer return an inferred position when a single Media Access Control address is submitted.  Microsoft is keenly aware of the sensitivity around all privacy issues, especially those surrounding geolocation.   

Quelle: Microsoft Makes Change to Geographic Location Positioning Service

Kreative Lösung. Die Datenbank gibt es nach wie vor, die Abfragen ebenso, aber man braucht nun eben zwei MAC Adressen und nicht mehr eine. Aber offenbar sind nun alle zufrieden. Klar, die entsprechenden “Fixed”-Artikel in den verschiedenen Medien sind nun nicht mehr die jeweiligen Haupt-Teaser sondern wie bei “Oh, doch nix”-Artikeln üblich irgendwo dazwischen versteckt.

So auch bei Heise, Original-Meldung war Top-Meldung (300 Kommentare), die zweite Meldung “Microsoft bessert nach” steht unter ferner liefen (6 Kommentare derzeit). WebStandard gleichlautend. Selbstverständlich steht in keinem Artikel, dass die Identifizierung von Benutzern (bzw. PCs oder Smartphones) oder gar das Erstellen von Benutzerprofilen, zu keinem Zeitpunkt möglich war.

Das Gefahrenpotential war ungefähr so: wenn ich weiß, dass die Adresse “Mariahilferstraße 27” ist, dann weiß ich dass die Adresse “Mariahilferstraße 27” ist.

Case closed.

 

Comments (6) -

>

8/2/2011 8:42:19 PM#

Der WebStandard ist ja schon lange zu vergessen; ich mein - das hat absolut nichts mehr mit objektiver Berichterstattung zu tun. Heise war sehr lange sehr gut, dürfte mittlerweile aber auch schon zuviele Werbegeschenke von Apple bekommen... Den Lesern beider kann man ja eigentlich keinen Vorwurf machen, so ist der Mensch eben - wenn man sich wo aufregen kann tun sie es - ohne etwas zu prüfen...

Übrigens, auf der Mariahilferstrasse 27 ist eine Volksbank Filiale ;)

Ackerl ReinhardÖsterreich | Reply

>
>

8/2/2011 8:50:13 PM#

Lol, ich hab gar nicht nachgesehen, welche Adresse das ist. Das müsste dann gegenüber vom Starbucks sein,... na zum Glück hab ich nicht den Ehehygiene-Shop erwischt (schön umschrieben, oder?)

Georg BinderÖsterreich | Reply

>
>
>

8/2/2011 9:42:52 PM#

ich glaube mit hygiene haben diese shops wenig zu tun Wink

bloggieÖsterreich | Reply

>

8/2/2011 11:46:48 PM#

Danke für die Richtigstellung. In den meisten Medien bekommt man die kaum/gar nicht mit.
Und ja, der Webstandard ist eindeutig pro-Apple biased. Merkt man schon dadurch, dass ihnen schon das unbedeutendste Gerücht das irgendwas mit Apple zu tun hat einen Artikel wert ist.

GabwellÖsterreich | Reply

>

8/5/2011 2:56:54 PM#

Jeder Anwender eines Smartphones sollte sich vor dem Kauf fragen, ob er etwas zu verbergen hat, oder aus anderen Gründen keine Daten erfasst haben will.
Eine Vielzahl der Anwendung, ob Geocaching oder Navigation oder oder...
Es ist nahezu nicht möglich seinen Standort zu verbergen.
Nutze ich dies Applikation, so nehme ich in Kauf, dass von mir ein Benutzerprofil erstellt wird. Das gleich gilt schon beim Surfen im Internet. Schalte ich alle Funktionen ab, so verliere ich an Komfort.
Ist leider so.
Gottseidank gibt es Gesetze, die die Nutzung zumindest eindämmen. Vermeiden? Geht das? Ja Back to roots und Rauchzeichen. Aber auch da wusste man, wo sie herkommen Smile

TomDeutschland | Reply

>

8/14/2011 9:41:45 PM#

Die Welt wie sie ist. Der Böse User kann sich auch nur aufregen.

Marco P.Deutschland | Reply

Add comment

  Country flag

biuquote
Loading

Datenschutzhinweis: Sie stimmen durch "Kommentar speichern" der Speicherung Ihrer Angaben durch Microsoft Österreich für die Beantwortung der Anfrage zu. Sie erhalten dadurch keine unerwünschten Werbezusendungen. Ihre Emailadresse wird auf Ihren Wunsch dazu verwendet Sie über neue Kommentare zu informieren.

Microsoft respektiert den Datenschutz. Datenschutz & Cookies