Datenleck in Apples Wi-Fi Positionierungssystem gibt weltweit Gerätestandorte preis

Forscher der Uni Maryland haben in einem Paper aufgezeigt, dass das Wi-Fi-basierte Positionierungssystem (WPS) von Apple zu einer erheblichen globalen Datenschutzbedrohung führen kann. Diese Systeme, die moderne mobile Geräte zur Positionsbestimmung durch nahegelegene Wi-Fi-Zugangspunkte nutzen, können von Angreifern ausgenutzt werden, um eine weltweite Momentaufnahme der geolokalisierten Wi-Fi-BSSIDs (Basic Service Set Identifiers) zu erstellen.

Die WPS Funktion ermöglicht Angreifern folgende Szenarien:

  1. Massendaten-Sammlung: Unprivilegierte Angreifer können innerhalb weniger Tage die genauen Standorte von über 2 Milliarden BSSIDs weltweit ermitteln, indem sie die relativ wenigen dichten Bereiche der zugewiesenen MAC-Adressräume ausnutzen.
  2. Längsschnittanalysen: Diese Daten ermöglichen es Angreifern, die Bewegungen von Geräten zu verfolgen. Auch wenn die meisten Wi-Fi-Zugangspunkte stationär sind, gibt es mobile Geräte wie Reise-Router, die gezielt verfolgt werden können.
  3. Kriegsgebiete: Die Bewegungen von Geräten in und aus Kriegsgebieten wie der Ukraine und Gaza wurden überwacht.
  4. Verfolgung von Geräten: Angreifer können Bewegungen von Wi-Fi-Zugangspunkten und verbundenen Geräten weltweit verfolgen.
  5. Individuelle Bedrohung: Persönliche Geräte, die in sensiblen Gebieten verwendet werden, könnten geolokalisiert und verfolgt werden, was zu erheblichen Datenschutzverletzungen führen kann.

Moderne mobile Geräte verwenden Wi-Fi-basierte Positionierungssysteme (WPS), um häufige und präzise Geolokationen zu ermitteln, da GPS aufgrund seines hohen Stromverbrauchs oft nicht praktikabel ist. Diese Systeme erlauben es Geräten, ihre Position anhand der beobachteten Wi-Fi-BSSIDs zu bestimmen und diese Informationen an einen Server zu senden. Apple und Google betreiben solche Systeme, die öffentlich zugänglich sind und keine Authentifizierung erfordern, was potenziell missbraucht werden kann.

Wir sehen in dem WPS System einen klaren Verstoß gegen die DSGVO. Dem Apple Nutzer ist nicht automatisch klar, dass beliebige Dritte weltweit seinen Standort ermitteln können. Wir hoffen daher, dass Apple Maßnahmen ergreift, um die Privatsphäre von Hunderten Millionen Nutzern weltweit zu schützen, indem unter anderem MAC-Adressen zufällig vergeben werden, um die Rückverfolgbarkeit von Geräten zu verhindern.

Related Posts

Hackerangriff auf den Flughafen Hamburg an Pfingsten

Am Pfingstsonntag ereignete sich ein Hackerangriff auf den Hamburg Airport. Die pro-russische Hackergruppe Just Evil/Kill Milk behauptet, Zugang zu bestimmten Bereichen des Flughafens erlangt zu haben und postete Screenshots und Überwachungsbilder als Beweis auf ihrem Telegram-Kanal.

Read More

BSI verklagt Microsoft wegen Sicherheitsvorfällen auf Herausgabe von Informationen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein offizielles Verfahren gegen Microsoft eingeleitet, um Informationen zu dessen Sicherheitsvorkehrungen zu erhalten. Trotz wiederholter Anfragen und Drohungen einer Klage hat Microsoft bisher nicht die geforderten Details geliefert. Daher griff das BSI nun zu Paragraf 7a des BSI-Gesetzes, um die Herausgabe von Informationen gerichtlich einzufordern.

Read More

Sicherheitslücke bei Lufthansa: Siri trägt fremde Flugdaten in Kalender ein

Laut einem Bericht der NZZ hat kam es bei der Lufthansa und ihrer Tochtergesellschaft Swiss zu einem ungewollten Datenleck. Apples KI-Assistentin Siri hat aufgrund einer Fehlkonfiguration die Log-in-Daten von Flugbuchungen erfasst und diese Informationen automatisch in die Kalender von Fremden eingetragen. Dieses Problem wurde am 8. April 2024 erkannt und betraf Buchungen, die durch eine bestimmte Sicherheitsschwäche in den Systemen der Airlines zugänglich wurden.

Read More