WLAN-Tracking verringern (mein Fokus Apple Geräte)

Wie ich gelesen habe betreiben Werbe / Trackingfirmen im öffentlichen Raum ja WLAN-Stationen, mit denen Sie die Mobilen Geräte und damit deren Besitzer tracken und Bewegungsprofile erstellen. Wenn ich es richtig verstanden habe, dann werden zum Tracking zwei verschiedene Datentypen genutzt:

(1) die MAC-Adresse der WLAN-Karte des Mobilgeräten

(2) die SSIDs der dem Mobilgerät bekannten WLAN-Netzwerke

und ich überlege gerade welche Maßnahmen und Strategien es gibt sich vor dem WLAN-Tracking der eigenen Person im öffentlichen Raum zu schützen. Hierbei interessiert mich insbesondere was mit verschiedenen Maßnahmen abseits des kategorischen Abschalten der WLAN-Schnittstelle erreicht werden kann.

Ich selbst nutze primär Apple Geräte (iPhone, iPad, Macbook, Apple Watch), sodass mein persönlicher Fokus auf dieser Plattform liegt.

Die folgenden Maßnahmen gegen WLAN-Tracking sind aus meiner Sicht denkbar:

Maßnahme - Randomisierte MAC-Adressen

Gegen das Tracking über die Mac-Adresse würde aus meiner Sicht nur der Einsatz von randomisierten Mac-Adressen bei der Suche nach bekannten WLANs helfen. Wenn das eigene Betriebssystem diese Maßnahme nicht unterstützt, dann ist ein WLAN-Tracking nur noch durch Abschalten zu vermeiden.

Apple Geräte erzeugen meinem Verständnis nach standardmäßig randomisierte MAC-Adressen der WLAN-Karte, welches nur optional für ausgewählte WLANs deaktiviert werden kann, sodass ein Tracking basierend auf MAC-Adressen zumindest langfristig unterbunden sein sollte.

„Wi-Fi connections

Apple generates randomized MAC addresses for the Peer-to-Peer Wi-Fi connections that are used for AirDrop and AirPlay. Randomized addresses are also used for Personal Hotspot in iOS and iPadOS (with a SIM card) and Internet Sharing in macOS.

New random addresses are generated whenever these network interfaces are started, and unique addresses are independently generated for each interface as needed.“

Quelle https://support.apple.com/guide/security/wi-fi-privacy-secb9cb3140c/1/web/1

Maßnahme - SSIDs bekannter WLANs nicht aussenden

Gegen das Tracking basierend auf den bekannten SSIDs eines Gerätes, sollten Geräte nicht die SSIDs der konfigurierten WLANs übermitteln. Dummerweise muss bei der Nutzung von „versteckten WLANs“ jedoch das Gerät die bekannten SSIDs (zumindest der versteckten WLANs) übermitteln, damit Gerät und WLAN-Accesspoint zueinander kommen.

Neuere Apple Geräte übermitteln bekannte SSIDs nur an versteckte WLANs, wobei ich mir nicht sicher bin, ob dieses alle bekannten SSIDs umfasst, oder nur die SSIDs von versteckten WLANs.

„Hidden networks

Wi-Fi networks are identified by their network name, known as a service set identifier (SSID). Some Wi-Fi networks are configured to hide their SSID, which results in the wireless access point not broadcasting the network’s name. These are known as hidden networks. iPhone 6s and later devices automatically detect when a network is hidden. If a network is hidden, the iOS or iPadOS device sends a probe with the SSID included in the request—not otherwise. This helps prevent the device from broadcasting the name of previously hidden networks a user was connected to, thereby further ensuring privacy.“

Quelle https://support.apple.com/guide/security/wi-fi-privacy-secb9cb3140c/1/web/1

Maßnahme - regelmäßiges Löschen nicht regelmäßig benötigter WLANs

Wenn das Endgerät seine bekannten SSIDs freigiebig seiner Umgebung mitteilt, dann kann anhand der Liste der bekannten WLANs schon eine Menge Orte ausgemacht werden, an denen sich das Gerät und damit sein Benutzer aufgehalten hat.

Durch das regelmäßige Löschen von temporär genutzten WLANs, verringert sich die Liste an Orten, die ggf. einem Trecker mitgeteilt werden.

Maßnahme - Häufig verwendete SSIDs für eigenen WLANs nutzen

Wenn man anstatt weitgehend eindeutiger SSIDs in den selbst verwalten WLANs häufig verwendete SSIDs (Fritz!Box …, Vodafone Homespot, …) einsetzt, dann verringert sich die eindeutige Ortszugehörigkeit einer SSID und damit das Wissen wo das Gerät sich in der Vergangenheit aufgehalten hat.

Ich bin mir allerdings nicht sicher, was für Sicherheitsimplikationen der Verwendung allgemeiner SSIDs hat, wenn sich das eigene Gerät versucht in ein fremdes WLAN mit gleicher SSID einzuklinken.

Maßnahme - Abschalten der WLAN-Funktion

Dieses ist natürlich die sauberste Maßnahme. Wo keine WLAN-Funktonalität genutzt wird, kann auch kein WLAN-Tracking erfolgen. Da dieses jedoch mit Funktions- und Komforteinschränkungen für die Anwender einhergeht, ist es umso interessanter, wie weit man sich mit den anderen Maßnahmen vor WLAN-Tracking bereits schützen kann.

Mich würde interessieren, ob Ihr noch weitere Maßnahmen kennt, oder die Hinweise auf die Wirksamkeit der von mir benannten Maßnahmen habt. Auch Hinweise auf Artikel wo die Wirksamkeit ggf. bereits bewertet wurde oder Hinweise wie ich selber die Funktionsfähigkeit der entsprechenden Maßnahmen verifizieren kann, wären hilfreich.

Ich bin gespannt auf Eure Beiträge.

Meine Information war, dass iOS und Android inzwischen standardmäßig die MAC Adresse randomisieren (falls auch vom Gerät unterstützt). Bei GrapheneOS sogar für jeden Verbindungsaufbau, nicht nur für jedes WLAN-Netz (anhand des Namens identifiziert). Damit ist dieser Vektor entschärft.

Daneben wird meines Wissens zumindest bei GrapheneOS niemals eine SSID für ein nicht-verstecktes Netzwerk versendet. Heißt: Solange man kein verstecktes WLAN im Gerät gespeichert hat, wird eine leere Liste an SSIDs gesendet. Egal, wie viele sichtbare Netze im Gerät gespeichert sind. Das eliminiert auch diese Verfolgungsmethode.

Dann kann man aber nicht die SSID des Heimnetzwerkes um _optout_nomap erweitern, um den Scannern von WLAN Netzwerken anzuzeigen, dass man nicht mit GPS Daten und SSID in deren Datenbank aufgenommen werden will. Und wenn ich eine allerwelts SSID nehme besteht durchaus die Gefahr, dass jemand einen Rogue Access Point (Link zu Wikipedia) aufsetzt und man eventuell Opfer einer Cyberattacke wird.

Hmm, wenn ich so überlege, frage ich mich, was diese WLAN-Datenbanken denn eigentlich für Werte beinhalten? Ich vermute es sind vor allem die MAC-Adressen der WLAN-Router und deren Position erfasst. Die SSIDs machen eigentlich keinen Sinn, da diese weder eindeutig, noch zwingend statisch sind. Vielleicht weiß hier jemand mehr.

Insofern bin ich mir nicht einmal mehr sicher, ob die SSID wirklich einen Rückschluss für Tracker bietet, wo ein mobiles Gerät tatsächlich gewesen ist, oder ob die Sammlung der bekannten SSIDs nicht eher nur ein Bestandteil eines Fingerabdrucks eines bestimmten Gerätes darstellen würde.

Wenn aber heutige Geräte tatsächlich maximal die SSIDs von konfigurierten, versteckten WLANs versenden und die SSIDs von anderen WLANs für sich behalten, dann wäre die sinnvolle Maßnahme gegen WLAN-Tracking

Maßnahme - keine versteckten WLANs nutzen

während das Thema der SSID-Benennung irrelevant für das WLAN-Tracking sein dürfte.

Diese sind dabei. Zumindest wenn ich mir die Info bei mozilla anschaue.

WiFi Networks

The combination of a MAC address and a location is considered personal data in some jurisdictions, as it contains data about the owner of a WiFi network. The collection of this data is legal as long as an effective opt-out mechanism like the one we follow is provided. Lookups of individual WiFi records are prevented by the service by requiring a combination of two matching nearby WiFi networks in queries.

Das heißt aber nicht, dass ein Opt-Out über die SSID nicht möglich ist, denn das ist ja der vereinbarte und sinnvolle Mechanismus (Kuketz Blog). Dass dann als Hauptmerkmal in deren Datenbank die MAC Adresse steht, widerspricht dem ja nicht. Theoretisch könnte man sich auch auf eine MAC Adresse einigen, die den Wunsch zum Opt-Out signalisiert, aber das müssten dann wiederum die Hersteller und Geräte unterstützen was wesentlich schwierig bis unmöglich sein wird. Letzteres wenn man an existierende Geräte denkt.

Sagte ich das?

Ich habe lediglich die Frage beantwortet ob in einer WLAN-Datenbank MAC-Adressen und Positionen erfasst werden.

Mein Kommentar bezog sich auf die Aussage von @Reklow, die ich mit zitiert habe, aber ich sehe, dass das falsch rüberkam. Sorry.

Kein Ding. Missverständnisse passieren das halte ich für völlig normal und menschlich Die schriftliche Kommunikation macht die Sache nicht einfacher

Vielen Dank für Eure Antworten.

Mein bisheriges Fazit aufgrund Euer Antworten wäre daher, dass das Thema “WLAN-Tracking von Mobilgeräten” bei der Nutzung aktueller Geräte die Ihre MAC-Adressen regelmäßig wechseln, zumindest in Hinsicht auf ein langfristiges Tracking ziemlich gelöst zu sein scheint.

Kurzfristiges Tracking des Gerätes bis zum nächsten MAC-Adresswechsel bleibt natürlich weiterhin möglich.

Dauerhaftes WLAN-Tracking eines Gerätes ist eigentlich nur bei der Nutzung versteckter WLANs möglich, da die gespeicherten SSIDs solcher Netzwerke an alle WLAN-Router mit versteckten WLANs verschickt werden. Aus diesem Grund sollte man keine versteckten WLANs nutzen, oder diese direkt nach der Nutzung wieder löschen.

Die “Maßnahme - Häufig verwendete SSIDs für eigenen WLANs nutzen” hingegen, ist daher nicht notwendig und sinnvoll.

Eine Frage (eines engagierten Laien). Warum haben Sie, wenn Sie sich im Öffentlichen Raum befinden. das Wlan aktiv?

Ich versuche immer, wenn ich mein Heim verlasse, das WLAN zu deaktivieren, aber das klappt nicht immer.

Theoretisch gesehen könnte man ja das WLAN automatisch deaktivieren lassen, wenn man sich nicht mehr in der Reichweite der eigenen Hütte befindet (als Funktion der Signalstärke), aber das ergibt wahrscheinlich zu viele False Positive. Ich meine mal gelesen zu haben, dass wenn man Bluetooth aktiviert lässt, dass man dann (über z.B. ein Bluetooth Gerät an der Haustür o.ä.) das WLAN automatisch ab- und anstellen kann.

Oder man macht es eben wie Eingangs geschrieben händisch. Und ehrlich: Das nervt, aber was macht man nicht alles …

Dafür gibt es bei F-Droid zwei wunderbare Apps:

WiFi Automatic

Schaltet das wLAN wahlweise ein …

• wenn das Gerät entsperrt wird;
• täglich um xx:xx Uhr;
• alle 5 Minuten – 10 Stunden;
• beim Laden;
• beim Betreten dieser Orte (nicht in der F-Droid-Version)*.

Schaltet das wLAN wahlweise aus …

• wenn das Display mindestens 1 – 60 min aus ist (außer beim Laden);
• wenn kein Netzwerk in Reichweite für mindestens 1 – 60 min;
• täglich um xx:xx Uhr;

und schreibt ein Log (für einen Tag).

*) Für diesen Mangel gibt es die zweite App:

Smarter Wi-Fi Manager

Schaltet erlaubte wLANs automatisch wahlweise ein …

• wenn man in den Bereich kommt;
• bei Erreichen eines Timeslots;
• beim ersten Öffnen des Screens.

Mike’s Vorschläge auf dem Blog dazu.

@Bit Danke für die Info, ist notiert falls mich jemand fragt, denn mein Firmenhandy ist ein iPhone und da kenne ich keine analogen Programme. Und selbst wenn es die gäbe so darf die nur dann installiert werden, wenn die intern frei gegeben wurde.

Es gibt verschiedene Funktionen, die abseits der Internet-Verbindung die WLAN-Schnittstelle nutzen - z. B. CarPlay zur Nutzung des iPhone im Auto, Positionsbestimmung, Airdrop zum direkten Datenaustausch mit anderen.

Natürlich könnte ich vor der Nutzung der entsprechenden Funktionen immer entscheiden, ob ich WLAN gerade an- oder abschalte. Auch könnte ich versuchen, dass möglichst gut zu automatisieren. Der Aufwand ist aber nicht unerheblich.

Technisch wenig versierte Nutzer würde das auch schnell überfordern und ich suche immer auch nach Lösungen / Bewertungen für mein Umfeld.

Schau mal ob es ggf. möglich ist Wlan per NFC abzuschalten, ggf. mit Tag an der Wohnungstür. Schau dir mal den Link an.
Vergisst vor lauter Beschäftigung mit Wlan das Bluetooth. Da werden die Macs weniger gespooft und es wird meines Wissens mehr mit getrackt.

https://apfelschule.ch/tipps-und-tricks/nfc-tags-und-automationen-einfacher-geht-es-kaum-noch/

Weder CarPlay noch AirDrop nutzen WLAN, sondern Bluetooth. Und CarPlay kann man auch über Kabel nutzen. WLAN kann man zur Verbesserung der Positionsbestimmung nutzen, es ist aber nicht zwingend notwendig.

Also CarPlay funktioniert mit meinem Auto nur bei aktiviertem WLAN. Kabelgebunden habe ich gerade getestet und das wäre tatsächlich eine Alternative.

Airdrop funktioniert tatsächlich auch ohne WLAN, bei größeren Datenmengen wird meines Wissens nach jedoch auf ein Attock-WLAN gewechselt, was die Übertragung beschleunigt.

Interessant. Das kommt wahrscheinlich auch auf das Car Multimedial Entertainment Center Autoradio an. Da unser Auto keine Ladeschale hat lädt man bei Nutzung eines Kabels auch gleich das Handy mit auf, zweifacher Gewinn sozusagen.

https://www.golem.de/news/versteckte-mac-adresse-privatsphaere-feature-in-ios-war-wohl-bisher-voellig-nutzlos-2310-178869.html

" Die echte Mac-Adresse taucht dabei allerdings nicht im gewohnten Datenfeld der Netzwerkpakete auf – dort war tatsächlich seit iOS 14 die vom Betriebssystem angezeigte private Adresse enthalten. Wie aus einem von Mysk veröffentlichten Video hervorgeht, teilt das System seine echte Mac-Adresse allerdings in einem anderen Datenfeld innerhalb eines Multicast-Requests (mDNS, Port 5353) mit, sobald sich das Gerät mit einem WLAN-Netz verbindet."