Vandaag een gastbijdrage van Jaap-Henk Hoepman, associate professor in security and applied cryptography aan de Radboud Universiteit in Nijmegen. Het stuk is ook op zijn eigen site te lezen.
Locatie gebaseerde diensten passen zich aan aan de lokatie waar je je bevindt. Je vind zo snel een restaurant naar keuze bij jou in de buurt, of weet waar je vrienden zich op dit moment bevinden. Veel van die diensten draaien op mobiele telefoons, of op tablets zoals de iPad. Om zo’n dienst te gebruiken moet je echter wel je huidige locatie te weten. Daarvoor is een aantal mogelijkheden. Google heeft een variant die de privacy ernstige schade toebrengt, juist aan de mensen die niet van locatie gebaseerde diensten gebruik maken.
Sommige telefoons hebben GPS, het satelliet gebaseerde Global Positioning System. Ook kan met behulp van de zendmasten van GSM je huidige locatie bepaald worden. Als je via WiFi draadloos met het Internet verbonden bent, dan is er ook nog een derde mogelijkheid om je locatie te bepalen. Van veel vaste PC’s, maar ook van WiFi access points is de locatie (bij benadering) bekend. Dit maakt het mogelijk om als je op je PC een website bezoekt, de taal van de website of de reclame af te stemmen op je huidige locatie.
In een recente blog post legt Kim Cameron uit hoe hiermee de locatie van mobiele apparaten bepaald kan worden, en waarom dit een privacy probleem oplevert. Elk apparaat met een Internet verbinding (of dat nu draadloos is of niet) heeft (naast een soms dynamisch IP adres) een uniek en vast MAC adres. Dat MAC adres is het unieke nummer van de netwerk hardware van het apparaat, en hangt aan alle netwerk berichten van en naar het apparaat. Alle apparaten die met hetzelfde draadloze netwerk verbonden zijn, kunnen dus het MAC adres van elkaar te weten komen.
Om zijn locatie te bepalen, verzamelt de mobiele telefoon alle MAC adressen die hij ziet op het lokale WiFi netwerk waar hij mee verbonden is. Hier zit in ieder geval het MAC adres van het WiFi access point bij. Vervolgens stuurt hij al deze MAC adressen op naar een centrale server van de locatie gebaseerde dienst. Deze kijkt of van één of meer van de MAC adressen de locatie bekend is, en bepaalt zo de locatie van de mobiele telefoon.
Hierin schuilt een groot privacy probleem. Niet zozeer voor de gebruiker van de locatie-gebaseerde dienst. Die heeft voor het gebruik van zijn locatie meestal vooraf expliciet toestemming gegeven. Nee, het probleem schuilt hem in de MAC adressen van alle andere mobiele telefoons die naar de locatie-gebaseerde dienst gestuurd worden. Die horen bij telefoons van gebruikers die geen toestemming hebben gegeven, en misschien wel van gebruikers die expliciet niet willen dat andere partijen hun huidige locatie te weten komen. Maar door het opsturen van al deze MAC adressen door één telefoon weet de locatie gebaseerde dienst meteen ook de locatie van alle andere telefoons.
Dit klinkt misschien als een vergezochte manier om een locatie gebaseerde dienst in te richten, maar dit is wel precies de manier waarop Google dat doet! Net als met Google Search of het recente debacle rond Google Street View: Google overschrijdt bewust de grenzen van het fatsoen en verzamelt ook nu weer meer informatie dan strikt noodzakelijk is voor de implementatie van een dienst. Het zou immers al een stuk minder erg worden als alleen het MAC adres van het WiFi access point zou worden doorgegeven.
Er is nog een sinisterder variant mogelijk (waarvan ik niet weet of die door Goolge of anderen gebruikt wordt). De hierboven geschetste variant vereist dat de locatie van het WiFi access point bekend is. Als dat niet zo is, dan heb je geen referentiepunt, en kun je dus niet de locatie van de andere apparaten bepalen. Maar stel nu dat één van de mobiele telefoons GPS bevat. Dan zou deze telefoon als ‘spion’ dienst kunnen doen. Hij verzamelt om de zoveel tijd alle MAC addressen van apparaten op hetzelfde netwerk, en stuurt deze, met de eigen GPS locatie, door aan de servers van de locatie gebaseerde dienst. Die slaat deze gegevens op, en verzamelt zo in een mum van tijd de locatie van heel veel mobiele apparaten, maar ook van nieuwe, nog onbekende, WiFi access points.
Wel slim van Google eigenlijk. Waarom zou je met een auto rond gaan rijden om de locatie van allerhande apparaten te bepalen, als je met een slinkse variant op crowd sourcing alle gebruikers van locatie gebaseerde diensten tot je spionnen kunt maken die jou gaan vertellen waar al die ander gebruikers zich bevinden…. Het wordt tijd dat we de Googles van deze wereld een halt toeroepen.
Reacties (30)
“Het wordt tijd dat we de Googles van deze wereld een halt toeroepen.
Te laat?
Nee, niet te laat: gewoon vrije software (bijv.Maemo, straks Meego) gebruiken, dan heb je geen last van spionnen.
Indexeert Google ook wifi accesspoint met een verborgen ssid?
Zo niet dan is er opzich nog niet zoveel aan de hand lijkt mij. Je kiest er zelf voor om je wifi accesspoint te broadcasten voor iedereen die in de buurt komt…
Mensen zijn zich er alleen nog niet zo van bewust, dat lijkt me meer het probleem.
Een wetenschapper die in zijn artikel linkt naar “Conor’s Web Log of Esoterica”, een site geheel in Comic Sans?
I’m outta here…
Ik heb het niet zo op esoterica hoor, en ook niet op sites in Comic Sans. Maar als iemand iets zinvols te melden heeft in een lopende discussie heb ik geen probleem om daar naar te linken.
@4 Los van het lettertype valt het toch wel mee. Ook zonder comic sans kun je een foeilelijke site in elkaar batsen.
@3: Ja, een AP zendt iedere seconde 10 pakketten uit met daarin onder meer zijn eigen MAC adres en een SSID veld wat (in het geval van hidden SSID) leeg kan zijn. Omdat de gebruiker zijn SSID zo vaak kan wijzigen als hij maar wil wordt alleen naar het MAC address gekeken wat door de gemiddelde gebuiker niet wijzigbaar is.
Ja, het is mogelijk dat een mobiel aparaat alle MAC addressen in zijn netwerk verzamelt. Sterker nog, hij kan ook MAC adressen verzamelen van alle wifi apparaten binnen radiobereik, ook als ze niet met zijn eigen netwerk verbonden zijn.
Echter, het volstaat om slechts het MAC adres van het AP naar google uploaden. Ik ben benieuwd uit welke bron de informatie komt dat google meer adressen verzamelt dan nodig – of is het gegeven dat het kan voldoende reden om aan te nemen dat het op dit moment al gebeurt?
De uiteindelijke oplossing voor dit probleem lijkt me een verdere evolutie van de wifi standaard waarin ook de adresvelden van pakketten vercijferd worden.
Oh jee Google is in mij als individu geïnteresseerd…. NOT! Het enige dat Google boeit is de massa. Daar is geld te halen. Denk je nou echt dat je zo’n belangrijk mens bent dat Google kostbare tijd aan een enkel onbekend/onbelangrijk persoon besteed? Alle informatie gaat op de grote hoop om gerichte reclame te kunnen genereren en er is niemand daar die er eens een persoon uitpakt om zijn/haar gangen eens lekker na te gaan.
Wat een kansloze bangmakerij weer.
Nee, het probleem schuilt hem in de MAC adressen van alle andere mobiele telefoons die naar de locatie-gebaseerde dienst gestuurd worden.
Probleem? De eigenaren van de apparaten met die MAC-adressen kiezen er zelf voor om dat apparaat, dat nonstop brult HIER BEN IK DIT IS MIJN NUMMER JOEHOE ALLEMAAL KIEKEBOE, mee te sjouwen. En dan zou het een probleem zijn als een derde tegen een andere derde zegt “hee is zie hier die en die JOEHOE roepen”. Als je dat een probleem vindt, moet je geen apparaat meezeulen dat voortdurend de aandacht loopt te trekken. Als je opvalt, wordt je nou eenmaal als landmark gebruikt. Je doet het zelf ongetwijfeld ook heel vaak “We zitten bij die gast met dat knalgele T-shirt en de cowboyhoed”. “Ah ik zie jullie!”
Ook frappant dat het nu ineens “boeiend” is omdat Google het doet. Het stikt al tijden lang van de applicaties die op precies dezelfde wijze als Google het nu doet de lokatie van mobiele apparaten bepalen, voornamelijk om ze op te sporen na diefstal. Met succes, overigens.
Het verzamelen van publiekelijk beschikbare informatie in de openbare ruimte heeft naar mijn bescheiden mening dan ook niets met spioneren te maken. Nodeloos negatieve terminologie voor prachtig nuttige technologie. Ik hoop van harte dat de vrijheid van Google en DUS mijn vrijheid om dit soort informatie te verzamelen en te gebruiken, nooit wordt ingeperkt.
Overigens kun je met de meeste wifi-hardware je MAC-adres zeer eenvoudig veranderen.
Ik vind het een slap verhaal.
De meeste device drivers ondersteunen bijvoorbeeld al niet de functie om al het draadloze verkeer (op het huidige kanaal) te dumpen.
Je kunt natuurlijk wel de inhoud van de ARP cache meesturen. Het is alleen zeer de vraag in hoeverre hier apparaten in terug te vinden zijn waarmee je nooit verbinding hebt gemaakt. Ik zal er thuis eens naar kijken.
Het is evident dat dit “kan”, en het dus interessant is om frame headers met een public/private key systeem te coderen. Maar ik kan nergens uit opmaken dat Google dit ook daadwerkelijk doet. (Heb ik de link naar het bewijs gemist?)
Dus leuk om mensen hierover te waarschuwen. Maar verder is het artikel gewoon bias en paranoïde tegen het grote boze Google aanschoppen.
Grappig dat het feit dat google genoemd wordt zo’n reaktie te weeg brengt. Naar mijn mening leidt dat alleen maar af van het punt, dat verder valide is. Natuurlijk kan je je MAC veranderen etc etc, maar de meerderheid doet dat niet en dat zou ook niet nodig moeten zijn!
De eigenaren van de apparaten met die MAC-adressen kiezen er zelf voor om dat apparaat, dat nonstop brult HIER BEN IK DIT IS MIJN NUMMER JOEHOE ALLEMAAL KIEKEBOE, mee te sjouwe
wanneer gaan mensen met enige IT kennis eens beseffen dat die IT kennis geen randvoorwaarde zou moeten zijn om een afweging te kunnen maken of je al dan niet zo’n apparaat mee wil sjouwe?
Voor veel mensen is dit absoluut niet evident en daarom is het goed dat er aandacht aan besteed wordt.
Misschien dat het woord “spion” wat n00bs trekt die hier wat kennis opdoen, dat zou winst zijn; normaal gesproken worden dit soort artikelen alleen gelezen door mensen die er wel wat van af weten en dat graag etaleren..
Helemaal eens met #10.
En ook ik mis het bewijs achter de stelling dat Google deze methode gebruikt.
Als ik het goed begrepen heb worden de MAC-adressen in batches uitgeleverd aan fabrikanten.
Google kan als ze willen de MAC-adressen van mobiele telefoons (aparte batches) niet te versturen naar de centrale server.
Ze beheren zelf de telefoonsoftware (Android). En kunnen de filter functie inbouwen. Android is opensource dus het is controleerbaar voor de kritische expert.
@netsotov, #12 wanneer gaan mensen met enige IT kennis eens beseffen dat die IT kennis geen randvoorwaarde zou moeten zijn om een afweging te kunnen maken of je al dan niet zo’n apparaat mee wil sjouwe?
Mee eens, maar dat is nog geen reden om tegen cq over google te gaan zeuren.
Los daarvan is het een slap verhaal. Ik hoor dat nooit over babyfoons of walkietalkies. Mensen die gewoon kritisch nadenken, snappen zeker wel wat de gevolgen zijn. Daar heb je helemaal geen IT kennis voor nodig. Het probleem is dan ook geen gebrek aan kennis, het is een gebrek aan nadenken.
Om zijn locatie te bepalen, verzamelt de mobiele telefoon alle MAC adressen die hij ziet op het lokale WiFi netwerk waar hij mee verbonden is.
Volgens mij is dit niet correct en vind normale locatie bepaling van een telefoon plaats via triangulatie van de provider cells. [x] Een ander voorbeeld is Assisted-GPS (AGPS) waarin de provider cell zijn GPS locatie bekend maakt via een data verbinding om zo sneller de juiste GPS sats te kunnen locken in de telefoon.
Overigens zijn er al jaren dikke db’s met locatie gegevens van IP adressen.
Sinds wanneer worden MAC adressen meegestuurd met HTTP headers. Want anders zou ik niet weten hoe Google eraan komt. Klepel, klok.
De waarheid ligt zoals gewoon weer in het midden:
1. Google moet je niet vertrouwen
2. Jaap-Henk verspreidt onbewezen FUD.
Jaap-Henk houdt niet van voozichtig. In een ander artikel steekt hij de loftrompet over de mogelijke zegeningen van een ‘goede chipkaart’, maar struikelt daarbij over het woord ‘identificeren’. Hij zou moeten weten dat een chipkaart an sich, net zoals elk *vervreeemdbaar* object, niemand identificeert. Zo’n chipkaart identificeert alleen zichzelf. Tenzij hij bij elke handeling die ermee uitgevoerd wordt een volledige gebitscontrole, een irisscan en een DNA test uitvoert op degene die hem gebruikt.
Lawyers Claim Google Wi-Fi Sniffing ‘Is Not an Accident’[x] en ook Class action suit & wifi locatie patent by 2008 google [xpdfx](zie punten 16-21)
@DJ: De punten 16 t/m 21 in de PDF die je linkt, gaan consequent over het localiseren van het AP. Anders gesteld: iemand die een packet sniffer verkoopt die je vertelt welke apparaten allemaal communiceren met een wireless AP binnen bereik, komt niet in het patent vaarwater van Google.
@gadget20, ja dat klopt (denk ik, patent zelf niet gelezen alleen deze ref). Dit was het enige dat ik als ondersteunend materiaal vond voor de claims in het topic, waarin ik niet helemaal snap waar de focus op MAC vandaan komt. Locaties van telefoons worden meestal (nu) anders bepaald en zoals su17 al aangeeft, de meeste MAC’s bereiken de server niet.
@DJ: De beschuldiging is dat niet alleen het MAC van het AP doorgegeven wordt, maar ook de MAC’s van andere apparaten op het netwerk, waaronder mobiele telefoons. En het MAC adres van een mobiele telefoon is wellicht (door Google) tot de telefoon zelf (en zijn eigenaar) te herleiden.
Suf natuurlijk want (zoals jij al suggereert) van een mobiele telefoon die aan staat kun je via het mobiele netwerk een locatie bepalen. Heb je geen MAC voor nodig.
Daarom vind ik het omgekeerde veel waarschijnlijker: Je hebt een mobieltje waarvan je de locatie weet (via het reguliere telefoonnetwerk), en dat mobieltje pikt een WiFi AP MAC adres op. Dan weet je op dat moment waar dat AP zich ongeveer bevindt, ook al ken je het niet. Zo kun je nieuwe access points detecteren en gelijk localiseren.
Zo af en toe slaan we hier lekker door.
Als je je wifi aanzet stuurt deze automagisch je mac-adres de ether in. Dan moet je daarna mi ook niet gaan lopen zeuren dat andere machines dat opvangen en er vervolgens wat mee doen.
Als ik op straat loop te zingen loop ik ook de kans dat iemand dat opneemt en op internet zet…
FUD.
Wat een lach wekkend artikel.
Is dit komisch bedoeld?
Altijd maar dat gebash op google door mislukte idioten die denken dat ze iets van IT snappen.
Bovenstaande is namelijk niet WAAR. Gewoonweg niet waar. Wat wel waar is, is dat je bank je inkomen, het telefoonbedrijf, je zorgverzekering; dat die bedrijven je gegevens verkopen. Van waar je woont, tot hoe oud je bent.
En daar zie ik nou nooit een artikel over.
Maar goed: bovenstaande is niet waar. Het zijn leugens en ik stel voor dat Sargasso dit artikel laat verdwijnen, om de vernedering van zulke mis-informatie te beperken.
De locatie van een telefoon is heel gemakkelijk te bepalen zonder GPS. Dat doen telefoonbedrijven en telefoons al jaren.Ze vergelijken de ping van de zendmasten.
Dat de google streetview cars inderdaad mac addressen verzamelde is helemaal waar ja. Zodat de mapping tussen IP’s en locaties van niet mobile devices beter in kaart gebracht kan worden.
Dat was niet zo netjes van ze, maar geen groot probleem. Het is inderdaad zo dat ze dan kunnen zorgen voor ‘gerichte’ advertenties. Het is maar wat je gericht noemt. Veel interessanter dan regio wordt het niet.
Met een beetje geluk betekent dit dat als ik nu een band zoekt die toevallig deze week in Tivoli speelt, meteen een sponsored link krijg om het kaartje te bestellen.
Helaas, zo ver is het nog niet.
En maar even de duidelijkheid: mensen die wat meer ingewijd zijn, zien Google als het meest oprecht moreel verantwoord IT bedrijf met een beursnotering. Het is een bedrijf van, door en door nerds.
En zielige column schrijvers die denken enigzins zich te hebben op de materie, moeten echt eens professioneel hulp gaan zoeken voor hun Google-fetish.
Google weet minder van je dan je bank, je verzekering, je hypotheker, etc. En in tegenstelling tot die partijen, verkopen zij die informatie niet.
@11 Je hebt inderdaad de link naar het bewijs gemist. Google zegt het zelf, in deze blog post. Een tcpdump gemaakt met een android telefoon bevestigt het ook nog eens.
@17 Er staat nergens dat ze met de HTTP headers meegestuurd zouden worden… klok/klepel ;-)
@24 Ik zou graag horen welk deel van het stuk niet waar is. Heel hard roepen dat het niet waar is, maakt het echt niet minder waar…
@25: dat hoeft nergens te staan in het artikel. Dat is een randvoorwaarde wil Google er enigsinds wat nuttigs mee kunnen. Vanuit de internetzijde van een AP ziet Google de MAC adres niet. Vanuit de LAN zijde ziet Google een intern IP adres van de AP met MAC adres. En dan?
Ergo, standaard WPS [x] – behalve als de tcpdump laat zien dat de harvested (nonAP) macs verstuurd worden naar the big G
@DJ, #16 Zeker geen triangulatie; het uitgangspunt – en bovendien de enige lokatie waar een telefoon standaard over kan beschikken – is de GPS-lokatie van de antenne gecombineerd met een schatting van de afstand tot de antenne. Triangulatie vereist 3 antennes en kan dus alleen door de provider worden uitgevoerd (in theorie, het lijkt me dat je daar je netwerk speciaal op moet inrichten).
In Nederland is dat nog redelijk precies, in minder dichtbevolkte gebieden wordt dat al snel minder. MAC-adressen kunnen veel meer vertellen.
@zmoc28, als je een android telefoon hebt, probeer ‘antennas’ eens uit [x]– je bent zo verbonden met 7 of meer cells, maar je hebt gelijk hoor, triangulatie kan alleen door de provider uitgevoerd worden – anders komt het al snel in het agps domein – of heb je een lijst met gps posities van alle cells nodig.
De ‘sinistere’ variant in het topic stoort mij een beetje, is daar nu bewijs voor middels tcpdumps of is het slechts speculatie? Ik gok het laatste.
@25
“Ik zou graag horen welk deel van het stuk niet waar is. Heel hard roepen dat het niet waar is, maakt het echt niet minder waar…”
Je ging er meteen vanuit dat ik het over jouw stuk had, waar naar gelinkt werd. Ik had het over dit Sargasso artikel.
Alhoewel dat waarschijnlijk door jou geschreven is. En dan naar je eigen blog als bewijs linken.
Hoe hilarisch.
Sargasso’s dieptepunt is nu wel bereikt denk ik zo.