Seit langem sage ich jedem, er möge sein WiFi ausschalten, wenn er es nicht gerade benötigt. Doch warum eigentlich?
Ich habe schon mehrmals erwähnt, dass Google, Apple oder auch Microsoft Datenbanken haben, die genau wissen, welche SSID (der Name Ihres WiFi Netzes) an welchen Geokordinaten ist. Wenn Sie mit aktiviertem WiFi durch die Gegend laufen, können diese Firmen genau orten, wo Sie gerade sind, auch wenn Sie GPS (Standortdaten) deaktiviert haben. Es sei denn, Sie laufen durch einen Wald ohne WiFi und ohne Mobilfunknetz.
Doch es gibt noch andere Gründe.
Zu einem grossen Teil geht es hier um die sog. WiFi Probe Requests.
Die Fähigkeit, sich automatisch mit bekannten Netzwerken zu verbinden, ist bequem, birgt aber die Gefahr von verschiedenen Angriffen.
- Fingerprinting
- Erkennen, wo man sich aufgehalten hat (siehe Maps oben)
- Und es hilft Angreifern, Zugang zu Ihrem Gerät zu erhalten.
Also, was sind WiFi Probe Requests und warum sind sie aus Sicht von Datenschutz und Privatsphäre ein Albtraum.
Grundlagen
Stellen Sie sich vor, Sie haben ein Handy mit WiFi und einen Router. Dann müssen diese sich irgendwie finden. Es gibt dafür zwei Möglichkeiten:
- Passive Discovery
Das Handy liegt passiv auf dem Tisch und hört, was gerade so los ist. Der WiFi Router sendet regelmäßig Nachrichten und schreit: „Ich bin ein WiFi Router, nimm mich“.
Bei diesem Geschrei ruft der Router zusätzliche Informationen, zum Beispiel seine SSID (Service Set Identifier). Also den Namen seines WiFis, beispielsweise „Michaels Privates WiFi Netzwerk“ oder „Starbucks“ oder sonst einen. Wenn das passive Handy einen Namen hört, den es kennt, dann verbindet es sich mit dem WiFi. Sie können das „automatische Verbinden“ für jedes bekannte Netzwerk in den Einstellungen unterbinden. Leider machen das die wenigsten. Es ist super bequem in den nächsten MacDonalds zu gehen und sofort ein WiFi Netzwerk zu haben, ohne sich umständlich anmelden zu müssen. Immer und immer wieder.
Standardmäßig speichert das Handy alle bekannten Verbindungen in einer sog. PNL (Preferred Network List), also der sog. „Bevorzugten Netzwerk Liste“. Das können Sie nicht verhindern. Sie müssen die bekannten Netzwerke explizit „vergessen“ oder löschen, wenn Sie nicht wollen, das erkannt werden kann, wo Sie schon überall waren. Apple macht das auf dem iPhone fast unmöglich, wie wir sehen werden. Warum wohl?
Tipp: Wenn Sie sich nur in Deutschland aufhalten (oder in der EU) und ein sattes Datenvolumen haben, vermeiden Sie, wann immer möglich, WiFi. Ich habe beispielsweise unlimitiertes und nicht gedrosseltes Datenvolumen auf dem Handy. Daher verwende ich es fast nie mit WiFi, ausser im Ausland.
Stellen Sie sich vor, Ihre Liste enthält die Einträge: Botschaft Nordkorea, Botschaft Iran, Bundeskanzleramt, Bordell Neukölln. Wollen Sie wirklich, dass diese Liste bekannt wird? - Active Discovery
Dabei sendet das Handy selbständig aktive Informationen in der Gegend herum, um so WiFi Netzwerke in der Umgebung zu finden, mit denen es sich verbinden kann. Das sind kleine Informationspakete in der Art:
„Hey, ist jemand da?“
Das geschieht alle paar Sekunden. Die Router in der Nähe antworten:
„Wir sind hier, Wir sind hier!“
Welche Informationen genau geteilt werden und wie oft, hängt von Ihrem Gerät ab.
Wichtig: Einige der WiFi Probe Requests sagen nicht nur Bescheid, dass es sie gibt, sondern sie senden auch die gesamte (!!!) Liste aller Ihrer bekannten WiFi Netzwerke (PNL), also die gesamte SSID Liste, an alle Router in der Umgebung.
Das können Sie damit vergleichen: Sie stehen auf Ihrem Balkon und rufen alle Namen aller Menschen, die Sie kennen, in die Welt. Und sie hoffen, das jemand, der Sie hört, sich angesprochen fühlt.
Gehen Sie in den Starbucks um die Ecke, dann sendet Ihr Handy ggf. die gesamte Liste aller Ihrer bekannten SSIDs an den Starbucks Router. Damit könnte Starbucks Sie immer wieder leicht identifizieren. Ggf. weltweit, wenn Starbucks die Daten zentral speichert.
Einige Anbieter haben dieses Problem genauso eingeschätzt wie ich, schrecklich, und senden leere SSID Einträge, wenn sie diesen „Broadcast“ machen.
Der Ablauf ist also:
Handy: „Hey, ist jemand da?“ anstelle von: „Hey, Ich kenne folgende Namen: … Bist Du einer davon?“
Router: „Ja, ich bin hier, meine Name ist Starbucks WiFi.“
Handy: Dann suche ich mal in der Liste, ob ich Dich kenne.
Handy: „Hey, Du bist in meiner Bekanntenliste, lass uns mal wieder verbinden.“
Es gibt ein Forschungspapier von u.a. Johanna Ansohn McDougall aus Hamburg, mit dem Namen „Probing for Passwords-Privacy Implications of SSIDs in Probe Requests“.
23% aller Telefone senden die vollständige Liste der SSIDs an die Router.
Viele Menschen denken, wenn sie ihre SSID zu Hause als „Versteckt“ (hidden) konfigurieren, dann ist das datenschutzfreundlich.
Ist Ihr Heimatnetz so konfiguriert und Ihr Telefon ruft: „Jemand da?“, dann antwortet der Router nicht.
Das führt aber dazu, dass Ihr Telefon die Liste an den Router senden muss, damit dieser dann sagen kann, ich bin einer auf Deiner Liste, lass uns verbinden.
Dann landet das Netzwerk in der PNL (siehe oben) und wann immer sich das Handy verbinden will, ruft es dann: „Hier ist meine Liste, ist jemand da?“, und die Liste enthält auch Ihr „verstecktes“ Netzwerk, dass also gar nicht mehr so versteckt ist.
Das passiert die ganze Zeit, wenn Sie bei sich zu Hause sind. Denn die Verbindung ist ja nicht konstant, sondern immer dann, wenn Sie ein Netzwerk benötigen. Ihr Handy schreit also die ganze Zeit den Namen des versteckten Netzwerkes. Wohnen Sie in einem Mehrfamilienhaus in dem es viele WiFi Router gibt, dann können alle im Umkreis befindlichen Router diese Liste erhalten, also auch die Ihres „versteckten“ Netzwerkes.
Die GrapheneOS Entwickler haben mir in einem Chat empfohlen, kein verstecktes Netzwerk zu konfigurieren. Aus oben genannten Gründen
Warum ist das Broadcasting von SSIDs ein Problem?
Tracking
Das bringt uns zu MAC Adressen. Das sind Adressen, die weltweit eindeutig für jede Netzwerkschnittelle eines Gerät sind. Also beispielsweise für Ihre WiFi Karte im Rechner und den Bluetooth Chip. Zwei Chips die netzwerkfähig sind, zwei MAC Adressen.
Früher hat Ihr Gerät beim Broadcasting die einmalige MAC Adresse des Gerätes mitgesendet, was aus Datenschutzsicht eine Katastrophe war. Einfach mal wieder bei Starbucks vorbeigegangen und die wussten: Da laufen Sie gerade vorbei.
Jetzt bieten die meisten Anbieter sog. zufällige MAC Adressen an. Bei iPhones finden Sie das unter den WLAN Einstellungen. Sie können für jedes WiFi Netzwerk festlegen, ob Sie eine private (zufällige) MAC Adresse verwenden wollen oder nicht. Apple randomisiert aber nur die letzten drei Ziffernpaare und nicht die gesamte MAC Adresse.
Bei GrapheneOS können Sie über Netzwerk und Internet->Internet und dann das Zahnrad bei dem Netzwerk, mit dem sie gerade verbunden sind tippen und dann auf Privatsphäre tippen. Dort haben Sie drei Optionen.
Der Standard ist, dass bei jeder Verbindung ein zufälliger Wert gesendet wird.
Im Netz zu Hause kann es hilfreich sein, immer die gleiche Adresse zu verwenden.
Wenn Sie ein älteres Gerät oder noch ein älteres Betriebssystem verwenden, ist es gut möglich, dass es immer noch die „echte“ MAC Adresse sendet. Updates helfen gegebenenfalls.
Ein hilfreicher Artikel ist bei Arstechnica erschienen: „Shielding MAC addresses from stalkers is hard and Android fails miserably at it.“
Aber er ist von 2017!!
WiFi Probe Requests können zum Fingerprinting verwendet werden. Das Handy sendet ggf. zusätzliche Attribute Ihres Gerätes an den Router. Aber am Ende ist die Liste der SSIDs sicher der beste Indikator für Fingerprinting. Denn welcher zweite Mensch hat sich mit genau den Netzwerken verbunden, wie Sie auch?
Wenn Sie beispielsweise in ein grosses Einkaufszentrum gehen und sich mit jedem WLAN jeden Geschäfts verbinden, dann haben Sie einen sehr guten Fingerabdruck.
Daneben können Einkaufszentren oder auch Flughäfen über Triangulation genau sagen, wo Sie gerade sind, wie lange Sie von a nach b gebraucht haben usw.
Manche Städte haben in Fußgängerzonen Schilder: WiFi Tracking in Progress.
Sie wollen den „Verkehrsfluss“ der Fußgänger messen. Wie lange verbringen Sie zwischen den Punkten, wo stoppen Sie, wo halten Sie sich länger auf… usw.
Private Informationen hergeben
Viele viele viele Menschen benennen ihr Netzwerk mit ihrem Namen oder wie die Konferenz oder die Firma heisst.
„Puff Stgt“ oder „Messe Frankfurt“ oder „Siam Thai Resto“ oder „Michael Maier Netz“
Damit kann in Erfahrung gebracht werden, wer Ihr Arbeitgeber ist, wer Ihr ISP ist oder was immer der Name enthält
Das geht so weit, dass manche Menschen ihr WiFi zu Hause nach der Adresse benennen, wo sie wohnen. „Hauptstraße 20, Frankfurt WiFi“. Wenn man mehrere Häuser hat, kann man auch mal schnell durcheinander kommen.
Über all diese WiFi Informationen, die sehr einfach mit einem WiFi Dongle zu erlangen sind, kann z. B. ein Krimineller erkennen, ob Sie zu Hause sind oder nicht. Oder ob sie alleine in einem Büro sind. Ein Hacker kann die Umgebung scannen und z. B. In Erfahrung bringen, ob jemand früher schon einmal eine Verbindung zum Hotelnetzwerk hergestellt hat.
Die Geräte verbinden sich automatisch basierend auf dem Namen, der SSID. Keine andere Magie. Damit können aber Angreifer vorgeben, das bekannte Netzwerk zu sein und so Geräte dazu bringen, sich mit ihnen zu verbinden. Das ist beeindruckend einfach. Sie benötigen lediglich einen WiFi Pineapple. Für ca. $100 erhalten Sie ein Gerät, dass als sog. „Man in the Middle“-Gerät agiert. Es scannt die Umgebung nach WiFi Namen, die alle in der Nähe befindlichen Handys, Computer oder andere Geräte broadcasten. Das ist also die PNL aller Geräte in der Umgebung, mit denen die Geräte versuchen sich zu verbinden.
Darauf basierend wählt der Kriminelle eines der Netze aus und konfiguriert den Pineapple so, dass er vorgibt, ein Starbucks WiFi zu sein. Mit dem waren Sie in der Vergangenheit schon mal verbunden, also erkennt Ihr Handy das Netz und vertraut ihm. Die Surfer sind dann mit dem Pineapple verbunden, glauben aber, sie seien mit Starbucks verbunden. Damit greift der Pineapple in Ihren gesamten Verkehr ein, kann in aufzeichnen, modifizieren, blockieren usw. Dank HTTPS ist es ich mehr so schlimm und es würde zu weit gehen, in diesem Artikel auch noch darauf einzugehen, wie Zertifikate missbraucht werden können. Doch ein WiFi Pineapple ist ein mächtiges Gerät.
Seien Sie sich der Situation einfach bewusst und schützen Sie sich.
Wie schützen Sie sich?
- Schalten Sie WiFi IMMER aus, wenn Sie es nicht benutzen.
In Android müssen Sie den WiFi Schalter und zusätzlich „Scanning via WiFi“ deaktivieren. Vergessen Sie das Letzte, dann sendet das Handy trotzdem permanent WiFi Probe Requests aus.
Beim iPhone müssen Sie in den Einstellungen das WiFi deaktivieren, im Kontrollzentrum alleine reicht es nicht, dann wird die aktuelle Verbindung deaktiviert aber das Probing geht weiter. - Aktualisieren Sie Ihr Betriebssystem. Die Wahrscheinlichkeit, dass Ihre PNL nicht gesendet wird, ist bei neueren Systemen höher als bei älteren.
- Vergessen Sie alte Netzwerke. Löschen Sie sie aus der Liste. Müssen Sie wirklich die gesamte Liste Ihrer letzten fünf Jahre Urlaube, Kneipen, Bars, Fitnesstudios etc. dort haben?
Auf Android können Sie sich die Liste unter „Gespeicherte WLANs“ anzeigen lassen. Klicken Sie auf die, die Sie nicht mehr wollen und sagen Sie „Entfernen“.
Bei iPhones ist es schwieriger. Sie zeigen die PNL nicht an. Sie sehen nur die Netzwerke, die Ihr iPhone gerade jetzt sieht. Dort können Sie dann auswählen: „Dieses Netzwerk ignorieren“.
Laut Johanna (siehe oben) ist das absolut unverantwortlich von Apple, dass der Nutzer nicht sehen kann, welche Netzwerke in die Welt herausgerufen werden, wenn man sich neu verbinden will.
Es bleibt Ihnen also nur: Wenn Sie das Starbucks, das Hotel, das Fitnesscenter verlassen und noch verbunden sind, es zu entfernen.
Auf Laptops ist das alles bei allen Systemen leichter.