Aktualisierungen als RSS-Feed oder im Changelog.

Privacy-Handbuch

Alle Smartphones (und Laptops!) haben ein WLAN Modul. Es ist bequem, wenn man nach Hause kommt oder wenn das Smartphone am Arbeitsplatz automatisch das WLAN nutzt statt der teuren Datenverbindungen des Mobilfunk Providers.

Wenn man mit aktiviertem WLAN Modul und automatischem Login für die bevorzugte WLANs unterwegs ist, dann sendet das Smartphone oder der Laptop regelmäßig aktive "Probes", um die Umgebung nach den bevorzugten WALNs zu scannen.

Dabei wird neben der weltweit eindeutigen MAC-Adresse auch eine Liste der SSIDs der bevorzugten WLANs gesendet, mit denen sich das Smartphone automatisch verbinden würde (Prefered Network List, PNL). Diese Liste liefert Informationen über Orte, an denen sicher der Besitzer des Smartphones bevorzugt aufhält. (Home, Office...)

Mit geringem technischen Aufwand kann man diese Daten der aktiven WLAN "Probes" zum Tracking und für Angriffe nutzen:
  1. Auf der re:publica 2013 wurde ein kostenfreies WLAN bereitgestellt. Dieses WLAN verfolgte alle WLAN-fähigen Geräte (Laptops und Smartphones) der Besucher, unabhängig davon, ob die Geräte das WLAN nutzten oder nicht. Das Projekt re:log - Besucherstromanalyse per re:publica W-LAN visualisiert die Daten.
    re:log
  2. Forscher der Università di Roma sind mit der Studie Signals from the Crowd: Uncovering Social Relationships through Smartphone Probes (PDF) einen Schritt weiter gegangen. Sie haben gezeigt, dass man die aktiven WLAN "Probes" für eine soziale Analyse der Crowd nutzen kann. Crowd steht dabei für eine Ansammlung von Personen (Teilnehmer von Veranstaltungen oder Demonstrationen, Bordell Besucher .... usw.).
  3. Die Security Firma Sensepost ging noch einen Schritt weiter. Auf der Blackhat Asia 2014 wurde die Drohne Snoopy vorgestellt. Diese Drohne wertet die "Probes" der WLAN Module aus und simuliert dann die SSID eines bevorzugten WLANs des Smartphones. Das Smartphone meldet sich automatisch bei der Drohne an. Der Internet Traffic läuft über die Drohne und kann dort analysiert und modifiziert werden.

    Es wurde auf der Konferenz demonstriert, wie Snoopy Login Credentials von PayPal, Yahoo usw. abreifen konnte, Name und Wohnort der Nutzer ermitteln konnte und die Smartphones über einen längeren Zeitraum tracken konnte.

    Sensepost hat den Source Code von Snoopy, Server und Webinterface auf Github.com für eigene Experimente zum Download bereitgestellt.
Es gibt bereits erste praktische Ansätze der Werbeindustrie, die WLAN "Probes" der Smartphones zum Schnüffeln ausnutzen wollen: Schlussfolgerung: WLAN abschalten, wenn man es nicht braucht.
Lizenz: Public Domain