Ein Blog rund um Microsoft Windows und allem, was sonst noch so anfällt...

Kein Skandal – Ortungsdaten auf Windows Phone

von Georg Binder 30. July 2011 10:58

Eigentlich wollte ich mich ja zurücklehnen und schauen was passiert, denn den passenden Artikel zu Ortungsdaten und WP7 habe ich ja schon geschrieben: Ortungsdaten und Windows Phone. Hier dennoch eine Aktualisierung.

Grund: Durch einen Bericht von CNET  ist das Thema wieder aktuell geworden. Während der CNET Artikel ganz ok ist, wird er mitunter falsch oder ungenau übersetzt. Übrigens der technische interessantere Artikel ist jener von Elie Burszein.

Der “Skandal” ist weder das Sammeln von ortsbezogenen Daten, noch die Art der Daten. Und ganz nebenbei: die MAC Adressen von WLANs sammeln iOS und Android genau so. Auch ist vor allem eine Nutzergruppe gar nicht betroffen: Windows Phone 7 Benutzer (gell, Golem):

image

Das suggeriert, dass Windows Phone User identifizierbar in der Datenbank gespeichert sind. Das ist NICHT der Fall. Der Windows Phone User ist weder in der Datenbank identifizierbar, noch taucht das eigene Phone darin auf. In der Datenbank werden gefundene Access Points bzw. deren MAC-Adresse gespeichert.

Der Grund, warum Windows Phone User da in der Datenbank nicht auftauchen, ist ja weniger ein Feature, als etwas dass ein Windows Phone von Haus aus nicht kann: WLAN Hotspot spielen. Und da in der Datenbank nur WLAN Access Points enthalten sind,… Was darin sehr wohl enthalten sein kann: Android oder iOS Geräte, wenn sie als WLAN Router agieren – aber auch das ist per se nichts böses, denn wenn man sein Gerät in einen WLAN Hotspot verwandelt, dann darf man sich nicht wundern, dass dieses WLAN auch von anderen Geräten entdeckt wird.

UPDATE: derStandard Schlagzeile:

image

Auch für PCs gilt: nur dann wenn der PC selbst als HotSpot agiert – was ziemlich unwahrscheinlich ist. Es ist keineswegs so, wie im Artikel genannt, das “die Standortdaten von WiFi-tauglichen Geräten wie Handys und PCs ausfindig” gemacht werden können. [/UPDATE]

Um jetzt wirklich ein Bewegungsprofil zu erstellen:

  • Müsste ich erst die MAC Adresse des Geräts des Benutzers wissen.
  • Der Benutzer muss sein Gerät als WLAN Access Point betreiben.
  • Ein Windows Phone muss in der Nähe sein, dass diesen Access Point entdeckt. Außerdem muss genau zu diesem Zeitpunkt der Benutzer über eine App auf die Location API zugreifen, denn nur dann wird die Position abgefragt und übermittelt.

Um ein wirkliches Bewegungsprofil zu erhalten, muss dies dauernd der Fall sein (WLAN Betrieb und WLAN entdecken, App mit Geo-Infos)…

Liveside.net hat ein Statement von Microsoft erhalten, geantwortet hat Reid Kuhn, Partner Group Program Manager, Windows Phone Engineering Team, Microsoft:

“To provide location-based services, Microsoft collects publicly broadcast Cell Tower IDs and MAC addresses of Wi-Fi access points via both user devices and managed driving.  If a user chooses to use their smartphone or mobile device as a Wi-Fi access point, their MAC address may also be included as a part of our service. However, since mobile devices typically move from one place to another they are not helpful in providing location. Once we determine that a device is not in a fixed location we remove it from our list of active MAC addresses.”

Quelle: Microsoft’s Live Location API: Is it a “massive privacy hole”?

Demnach werden also gefundene Geräte, die ihre Position verändern, sowieso nach einer Zeit aus der Datenbank gelöscht – womit das Thema auch wieder erledigt ist.

Und einmal darf ich Golem noch in Frage stellen:

image

Mein Gott, klickt doch wenigstens auf die Webseiten, die ihr verlinkt. Steht ja eh alles dort. Elie verwendet die Live Location API, die Microsoft ganz offiziell zur Verfügung stellt. Und diese liefert für eine MAC Adresse die zugehörige Position (so vorhanden). Das ist keine (unbeabsichtigte) Sicherheitslücke.

Kritik

Man sollte aufpassen, dass man tatsächliche Probleme mit dem Datenschutz, wie sie bei Google oder Apple aufgetreten sind, nicht mit nur sehr theoretischen und in der Konsequenz harmlosen Themen vermischt oder verwässert. Schon klar, dass man gerne Microsoft auch bei der Verletzung der Privatsphäre erwischen möchte (und gut so dass man aufpasst!) aber hier ist es einfach kein Skandal.

Reduziert auf die eigentliche Frage: soll die Abfrage von Daten wirklich so einfach sein (keine Restriktionen) oder sollte diese Datenbank geschützt sein? Offenbar ist Microsoft bisher der Meinung, dass diese Daten ja sowieso völlig frei zugänglich sind.

Vielleicht steckt aber ja mehr dahinter, … nach der BlackHat wissen wir mehr :)

Mehr Information:

 

Comments (14) -

>

7/30/2011 4:42:08 PM#

So sieht objektiver Journalismus am Beispiel von derStandard.at und Golem.de aus ;)

JürgenAustria | Reply

>
>

7/30/2011 4:50:18 PM#

Ach, für deren Verhältnisse sind die Artikel eh ganz in Ordnung Smile Man hat nur manchmal den Verdacht, dass der eine oder andere Schreiberling nicht ganz verstanden hat WER/WAS/WANN/WIE/WARUM... und schlimmer: wenn man sich die Kommentare unter den entsprechenden Artikeln durchliest, dann sieht man, wie rufschädigend so etwas sein. Bewußt (der pathologische Microsoft-Hasser) oder unbewußt (IT-ferne) wird hier ein Bild von Microsoft gezeichnet, das so nicht stimmt.

Georg BinderAustria | Reply

>
>
>

7/30/2011 4:55:54 PM#

Das grundlegende Problem: Es werden einfach Falschinformationen verbreitet, keine Hintergrundrecherchen durchgeführt und englische Artikel (schlecht) ins Deutsche übersetzt.

JürgenAustria | Reply

>
>
>
>

7/30/2011 4:58:22 PM#

Die genannten Seiten machen immer wieder provokantes Microsoft-Bashing, damit möglichst viele Views erreicht werden...

JürgenAustria | Reply

>

7/30/2011 4:58:49 PM#

Microsoft-Bashing für möglichst viele Views ;)

JürgenAustria | Reply

>
>

8/1/2011 12:26:29 PM#

Oder einfach schlampige Recherche. Wahrscheinlich eine Mischung aus beidem ;)

KerstinDeutschland | Reply

>

7/30/2011 5:06:10 PM#

Noch ein Link für Windows Phone User: www.microsoft.com/.../location-and-my-privacy.aspx

JürgenAustria | Reply

>

7/31/2011 12:53:45 PM#

Problem bei Google und Microsoft: Beide Firmen behaupten eine "Zufällig generierte eindeutige Geräte-ID", die bei den Abfragen an die jeweilige Firma übertragen wird, wäre anonym! Über diese ID lässt sich ohne weiteres ein Bewegungsprofil erstellen, welches man dann mit mehr oder weniger Aufwand einer Person zu ordnen kann.

keine angabenEcuador | Reply

>
>

7/31/2011 1:26:36 PM#

Nein, die ID wechselt.

Georg BinderAustria | Reply

>
>
>

7/31/2011 7:08:32 PM#

Bringt leider nichts, weil Microsoft diese ID vergibt (und somit eine Kette erzeugen kann). Weiterhin behält sich MS vor auf die Hardware-ID zu übertragen, die sich ja nicht ändert.

Keine AngabenDeutschland | Reply

>
>
>
>

7/31/2011 7:42:00 PM#

Auch nein, die MAC Adressen ("Hardware ID") ist von Access Points, nicht von Benutzern. Von Benutzern (WP7 Handys) wird die ID erzeugt - diese enthält keine Rückschlüsse auf den tatsächlichen Benutzer oder das Device. Zwei verschiedene Dinge.

Aber ja: Microsoft vergibt die ID und könnte eine Kette erzeugen. Das würde bedeuten, dass Microsoft in sämtlicher Komminkation bisher gelogen hätte:
blogs.technet.com/.../...y-in-windows-phone-7.aspx
www.microsoft.com/.../location-and-my-privacy.aspx

Georg BinderAustria | Reply

>
>
>
>
>

7/31/2011 11:34:16 PM#

Hat auf jeden Fall einen Beigeschmack, wenn MS und Google die ID selbst erzeugen - ist ja absolut unnötig.

Dazu kommt noch, dass wir nicht wissen, wer sonst noch alles legalen oder illegalen Zugriff auf die Server von MS/Google hat. Zumindest bei Google wurde ja schon "eingebrochen".

Wenn ich mir Anonymität auf die Fahnen schreiben würde, würde ich die ID in jedem Fall auf dem Client erzeugen und dem Nutzer auch die Möglichkeit gegeben, Einfluss auf diese zu nehmen, wenn er das denn will. Denkbar wäre auch eine Nutzung ohne ID...

keine angabenEcuador | Reply

>

8/18/2011 5:18:45 PM#

Wieviel heute ein Gerät mitschneidet, da machen die paar daten garnichts mehr aus.. o.O

PeterDeutschland | Reply

>

10/17/2011 4:12:00 PM#

Das ist ein interessanter Artikel. Von diesem Punkt aus, habe ich das noch gar nicht betrachtet. Die aufgeführten Punkte klingen duchaus logisch.
Also ist es eher unwarscheinlich, dass mit dem Windows Phone Bewegungsprofile erstellt werden, da die Geräte nach einer Zeit aus der Datenbank gelöscht werden?

Doris | Reply

Pingbacks and trackbacks (1)+

>

8/1/2011 12:30:11 PM#

Pingback from businessreadyblog.wordpress.com

Skandal oder nicht? Zur Ortung mobile Devices « Business Ready Blog

businessreadyblog.wordpress.com | Reply

Add comment

  Country flag

biuquote
Loading

Datenschutzhinweis: Sie stimmen durch "Kommentar speichern" der Speicherung Ihrer Angaben durch Microsoft Österreich für die Beantwortung der Anfrage zu. Sie erhalten dadurch keine unerwünschten Werbezusendungen. Ihre Emailadresse wird auf Ihren Wunsch dazu verwendet Sie über neue Kommentare zu informieren.

Microsoft respektiert den Datenschutz. Datenschutz & Cookies