Eigentlich wollte ich mich ja zurücklehnen und schauen was passiert, denn den passenden Artikel zu Ortungsdaten und WP7 habe ich ja schon geschrieben: Ortungsdaten und Windows Phone. Hier dennoch eine Aktualisierung.
Grund: Durch einen Bericht von CNET ist das Thema wieder aktuell geworden. Während der CNET Artikel ganz ok ist, wird er mitunter falsch oder ungenau übersetzt. Übrigens der technische interessantere Artikel ist jener von Elie Burszein.
Der “Skandal” ist weder das Sammeln von ortsbezogenen Daten, noch die Art der Daten. Und ganz nebenbei: die MAC Adressen von WLANs sammeln iOS und Android genau so. Auch ist vor allem eine Nutzergruppe gar nicht betroffen: Windows Phone 7 Benutzer (gell, Golem):
Das suggeriert, dass Windows Phone User identifizierbar in der Datenbank gespeichert sind. Das ist NICHT der Fall. Der Windows Phone User ist weder in der Datenbank identifizierbar, noch taucht das eigene Phone darin auf. In der Datenbank werden gefundene Access Points bzw. deren MAC-Adresse gespeichert.
Der Grund, warum Windows Phone User da in der Datenbank nicht auftauchen, ist ja weniger ein Feature, als etwas dass ein Windows Phone von Haus aus nicht kann: WLAN Hotspot spielen. Und da in der Datenbank nur WLAN Access Points enthalten sind,… Was darin sehr wohl enthalten sein kann: Android oder iOS Geräte, wenn sie als WLAN Router agieren – aber auch das ist per se nichts böses, denn wenn man sein Gerät in einen WLAN Hotspot verwandelt, dann darf man sich nicht wundern, dass dieses WLAN auch von anderen Geräten entdeckt wird.
UPDATE: derStandard Schlagzeile:
Auch für PCs gilt: nur dann wenn der PC selbst als HotSpot agiert – was ziemlich unwahrscheinlich ist. Es ist keineswegs so, wie im Artikel genannt, das “die Standortdaten von WiFi-tauglichen Geräten wie Handys und PCs ausfindig” gemacht werden können. [/UPDATE]
Um jetzt wirklich ein Bewegungsprofil zu erstellen:
- Müsste ich erst die MAC Adresse des Geräts des Benutzers wissen.
- Der Benutzer muss sein Gerät als WLAN Access Point betreiben.
- Ein Windows Phone muss in der Nähe sein, dass diesen Access Point entdeckt. Außerdem muss genau zu diesem Zeitpunkt der Benutzer über eine App auf die Location API zugreifen, denn nur dann wird die Position abgefragt und übermittelt.
Um ein wirkliches Bewegungsprofil zu erhalten, muss dies dauernd der Fall sein (WLAN Betrieb und WLAN entdecken, App mit Geo-Infos)…
Liveside.net hat ein Statement von Microsoft erhalten, geantwortet hat Reid Kuhn, Partner Group Program Manager, Windows Phone Engineering Team, Microsoft:
“To provide location-based services, Microsoft collects publicly broadcast Cell Tower IDs and MAC addresses of Wi-Fi access points via both user devices and managed driving. If a user chooses to use their smartphone or mobile device as a Wi-Fi access point, their MAC address may also be included as a part of our service. However, since mobile devices typically move from one place to another they are not helpful in providing location. Once we determine that a device is not in a fixed location we remove it from our list of active MAC addresses.”
Quelle: Microsoft’s Live Location API: Is it a “massive privacy hole”?
Demnach werden also gefundene Geräte, die ihre Position verändern, sowieso nach einer Zeit aus der Datenbank gelöscht – womit das Thema auch wieder erledigt ist.
Und einmal darf ich Golem noch in Frage stellen:
Mein Gott, klickt doch wenigstens auf die Webseiten, die ihr verlinkt. Steht ja eh alles dort. Elie verwendet die Live Location API, die Microsoft ganz offiziell zur Verfügung stellt. Und diese liefert für eine MAC Adresse die zugehörige Position (so vorhanden). Das ist keine (unbeabsichtigte) Sicherheitslücke.
Kritik
Man sollte aufpassen, dass man tatsächliche Probleme mit dem Datenschutz, wie sie bei Google oder Apple aufgetreten sind, nicht mit nur sehr theoretischen und in der Konsequenz harmlosen Themen vermischt oder verwässert. Schon klar, dass man gerne Microsoft auch bei der Verletzung der Privatsphäre erwischen möchte (und gut so dass man aufpasst!) aber hier ist es einfach kein Skandal.
Reduziert auf die eigentliche Frage: soll die Abfrage von Daten wirklich so einfach sein (keine Restriktionen) oder sollte diese Datenbank geschützt sein? Offenbar ist Microsoft bisher der Meinung, dass diese Daten ja sowieso völlig frei zugänglich sind.
Vielleicht steckt aber ja mehr dahinter, … nach der BlackHat wissen wir mehr :)
Mehr Information: