Ihr Android kann Ihren Standort (und wie es zu stoppen) Rundfunk

Besitzen Sie eine Android-Gerät? Ist es weniger als drei Jahre alt? Wenn so, dann, wenn Ihr Handy Display ausgeschaltet ist und es nicht zu einem Wi-Fi-Netzwerk verbunden ist, gibt es ein hohes Risiko, das es Ihr Standortverlauf für jeden im WLAN-Bereich sendet, die hören will.

Diese Lage Geschichte kommt in Form von den Namen der drahtlosen Netzwerke, mit denen Ihr Handy vorher verbunden hat. Diese identifizieren häufig Orte, Sie habe, einschließlich Häusern ("Tom es Wi-Fi"), am Arbeitsplatz ("Unternehmen XYZ Office net"), Kirchen und politischen Ämtern ("County Partei HQ"), kleine Unternehmen ("Toulouse-Lautrec House of Ill-Ruf"), Reiseziele ("Teheran Flughafen Wifi"). Diese Daten sind wohl gefährlicher als das in vorherigen Standort-Daten-Skandale leckte, weil es eindeutig in der menschlichen Sprache bezeichnet stellt, dass Sie genug Zeit, um die Wi-Fi verwenden verbracht haben. Normalerweise müssten Lauscher verbringen Sie einige Mühe, extrahieren diese Art von Informationen aus der Latititude/Längengrad-Geschichte, in der Regel in Privatsphäre Standortanalyse diskutiert. Aber selbst wenn Netzwerke weniger identifizierbare scheinen, gibt es Möglichkeiten, die sie nachschlagen.

Wir kurz erwähnt dieses Problem während unserer letzten Post über Apple MAC-Adressen in iOS 8 Randomize entscheiden. Wie wir draußen, können Wi-Fi-Geräte, die nicht aktiv mit einem Netzwerk verbunden sind Botschaften aussenden, die die Namen der Netzwerke, denen, die Sie beigetreten sind, in der Vergangenheit in dem Bemühen enthalten, um die Verbindung zu beschleunigen. Aber nach diesem Post schreiben wir wurden neugierig wie viele Telefone tatsächlich dieses Verhaltens ausgestellt und wenn ja, wie viele Informationen sie geleckt. Zu unserer Bestürzung haben wir entdeckt, dass viele der modernen Android Handys testeten wir die Namen der Netzwerke, die in ihren Einstellungen gespeichert durchgesickert , (bis zu einer Grenze von 15 Jahren). Und wenn wir diese Netzwerklisten sah, merkten wir, dass sie in der Tat gefährlich genauen Standort Geschichten waren.

Abgesehen von Android einige andere Plattformen auch unter diesem Problem leiden und müssen repariert werden, obwohl aus verschiedenen Gründen, Android-Geräte scheinen im Moment die größten Privatsphäre gefährden.

In Android verfolgen wir dieses Verhalten mit einem Feature in Honeycomb (Android 3.1) namens bevorzugte Netzwerk auslagern (PNO) eingeführt. PNO Telefone ermöglichen soll und Tabletten zu etablieren und Wi-Fi-Verbindungen zu erhalten, auch wenn sie im Low-Power-Modus sind (d. h. wenn der Bildschirm ausgeschaltet ist). Das Ziel ist es, längere Batterielaufzeit und mobile Datennutzung zu reduzieren, da WLAN-weniger Strom als Datenverbindung verwendet. Aber aus irgendeinem Grund, obwohl keines der Android-Handys wir übertragen die Namen der Netzwerke getestet sie wussten über ihren Bildschirmen auf, viele der Honeycomb-Handys waren oder später (und sogar eine laufende Lebkuchen) übertragen die Namen der Netzwerke, die sie kannten wenn ihre Bildschirme ausgeschaltet wurden.

Antwort von Google

Wenn wir dieses Problem auf Googles aufmerksam gemacht, antwortete sie, dass:

"Wir nehmen die Sicherheit der Daten unserer Nutzer sehr ernst und wir freuen uns immer über potenzielle Probleme frühzeitig sensibilisiert werden. Da Änderungen an dieses Verhalten möglicherweise Benutzer Verbindungen zu versteckten Accesspoints beeinträchtigen würde, noch untersuchen wir welche Änderungen für eine zukünftige Version geeignet sind."

Darüber hinaus legte gestern ein Google-Mitarbeiter einen Patch für Wpa_supplicant die dieses Problem behebt. Während wir sind froh, dass dieses Problem so schnell behandelt, es werden noch einige Zeit, bevor dieses Update in den nachgelagerten Android Code integriert wird. Und selbst dann Android Fragmentierung und der gebrochenen Update-Prozess für Google-Android-Geräte könnte verzögern oder sogar verhindern, dass viele Anwender erhalten das Update. (Wir hoffen, dass Google auf dieses Problem auch vorankommen kann.)

Schützende Maßnahmen nehmen Sie heute

Mit dieser sagte, ein Workaround gibt es (bei den meisten Geräten) für Benutzer, die wollen jetzt ihre Privatsphäre schützen: gehen Sie in Ihr Handy "Advanced Wi-Fi" Einstellungen und legen Sie die Option "Keep Wi-Fi on während des Schlafes" auf "Nie". Leider wird dadurch eine moderate Steigerung im Daten-Nutzung und Stromverbrauch – etwas, was Nutzer sollten nicht tun, um zu verhindern, dass ihr Telefon erzählt jedem, überall sind sie gewesen.

Leider, auf mindestens ein Gerät, das wir getestet – ein Motorola Droid 4 läuft Android 4.1.2–even dies war nicht ausreichend. Auf dem Droid-4, und vielleicht auf anderen Handys ist der einzig gangbare Weg zu verhindern, dass das Telefon undichte Stelle manuell die Netze vergessen, die Sie nicht broadcast, die oder deaktivieren Sie Wi-Fi sind nicht ganz immer dann, wenn Sie aktiv ein bekanntes WLAN-Netzwerk herstellen. Dort finden Sie auch apps, die dies automatisch für Sie tun wird.

Standortverlauf ist extrem sensible Informationen. Wir fordern Google, ihre Fix so schnell wie möglich zu versenden und andere Android Distributoren bieten sofortige Aktualisierungen enthalten.

Fußnoten

Diese Funktion ist auch notwendig um "versteckte" Netzwerke verbinden, da diese Netzwerke nicht ihre Existenz wie normale Wi-Fi-Netzwerke übertragen. Stattdessen muss das Telefon oder ein anderes Gerät ein Signal im wesentlichen Fragen "Bist du da?" und wenn das verborgene Netzwerk in der Nähe, er reagiert.

Bei unseren Tests keine iOS waren 6 oder 7 Geräte betroffen, obwohl wir das gleiche Problem auf einem mehrere getestete iOS 5 Geräte (iPad beobachtet), und frühere Versionen von iOS möglicherweise oder möglicherweise nicht betroffen. Viele Laptops sind wie alle OS X Laptops und viele Windows 7 Laptops betroffen. Desktop-Betriebssysteme müssen behoben werden, sondern weil unsere Notebooks in der Regel nicht sind wach und Scannen für Netzwerke wie wir herumlaufen, standortbezogene Geschichte Extraktion von ihnen erfordert deutlich mehr Glück oder Ausrichtung.

Der problematische Code ist eigentlich in einem open-Source-Projekt namens Wpa_supplicant, welche viele Linux-Distributionen, einschließlich Android, mit der Wi-Fi verwaltet. Wir wollen Kredite an Android-Entwickler Chainfire sowie mehrere andere im XDA-Forum geben deren Beiträge auf dieses Verhalten sehr informativ waren. Ein paar andere Forscher haben bisher dieses Verhalten kritisiert.

Die Liste der von die uns getesteten Handys gibt es als eine CSV-Datei oder ein Google-Doc.

Beachten Sie, dass diese Methode ist nicht narrensicher, da ein Angreifer möglicherweise noch in der Lage, Ihr Telefon zu seiner bekannten Netzwerk-Liste zu übertragen, wenn es angeschlossen ist, durch die Übertragung eines Pakets, das Sie vorübergehend die Verbindung trennt. Dann kann je nach Zeitpunkt, Ihr Telefon senden die Liste der Netzwerke bevor sie erneut eine Verbindung herstellt.

Dieser Artikel erschien auf der Electronic Frontier Foundation und ist hier unter Creative Commons Lizenz veröffentlicht. Bild von Rob Bulmahn unter Creative Commons Lizenz.