Forscher der Uni Maryland haben in einem Paper aufgezeigt, dass das Wi-Fi-basierte Positionierungssystem (WPS) von Apple zu einer erheblichen globalen Datenschutzbedrohung führen kann. Diese Systeme, die moderne mobile Geräte zur Positionsbestimmung durch nahegelegene Wi-Fi-Zugangspunkte nutzen, können von Angreifern ausgenutzt werden, um eine weltweite Momentaufnahme der geolokalisierten Wi-Fi-BSSIDs (Basic Service Set Identifiers) zu erstellen.
Die WPS Funktion ermöglicht Angreifern folgende Szenarien:
- Massendaten-Sammlung: Unprivilegierte Angreifer können innerhalb weniger Tage die genauen Standorte von über 2 Milliarden BSSIDs weltweit ermitteln, indem sie die relativ wenigen dichten Bereiche der zugewiesenen MAC-Adressräume ausnutzen.
- Längsschnittanalysen: Diese Daten ermöglichen es Angreifern, die Bewegungen von Geräten zu verfolgen. Auch wenn die meisten Wi-Fi-Zugangspunkte stationär sind, gibt es mobile Geräte wie Reise-Router, die gezielt verfolgt werden können.
- Kriegsgebiete: Die Bewegungen von Geräten in und aus Kriegsgebieten wie der Ukraine und Gaza wurden überwacht.
- Verfolgung von Geräten: Angreifer können Bewegungen von Wi-Fi-Zugangspunkten und verbundenen Geräten weltweit verfolgen.
- Individuelle Bedrohung: Persönliche Geräte, die in sensiblen Gebieten verwendet werden, könnten geolokalisiert und verfolgt werden, was zu erheblichen Datenschutzverletzungen führen kann.
Moderne mobile Geräte verwenden Wi-Fi-basierte Positionierungssysteme (WPS), um häufige und präzise Geolokationen zu ermitteln, da GPS aufgrund seines hohen Stromverbrauchs oft nicht praktikabel ist. Diese Systeme erlauben es Geräten, ihre Position anhand der beobachteten Wi-Fi-BSSIDs zu bestimmen und diese Informationen an einen Server zu senden. Apple und Google betreiben solche Systeme, die öffentlich zugänglich sind und keine Authentifizierung erfordern, was potenziell missbraucht werden kann.
Wir sehen in dem WPS System einen klaren Verstoß gegen die DSGVO. Dem Apple Nutzer ist nicht automatisch klar, dass beliebige Dritte weltweit seinen Standort ermitteln können. Wir hoffen daher, dass Apple Maßnahmen ergreift, um die Privatsphäre von Hunderten Millionen Nutzern weltweit zu schützen, indem unter anderem MAC-Adressen zufällig vergeben werden, um die Rückverfolgbarkeit von Geräten zu verhindern.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: