AirTags Teil 5: Technische Details der Spezifikation

Die AirTags sind immer wieder in den Medien. Google will auf den Zug der Hardware-Tracker aufspringen. Die Technologie kann Fluch und Segen sein. Ein Rückblick und vor allem ein Ausblick, was uns erwartet.

  • Teil 1: Rückblick: Funktionsweise, Einführung und Vorfälle
  • Teil 2: Problemstellung, Zukunft
  • Teil 3: Implikationen, Technologie
  • Teil 4: Widerspruch und Pairing Registry
  • Teil 5: Technische Details der Spezifikation
  • Teil 6: Fazit und Empfehlungen

Technische Details

Wenn Sie möchten, können Sie diesen Teil überspringen, er kann ein wenig technisch und sperrig werden. Aber ich gebe mir Mühe.

Die Geräte können in zwei unterschiedlichen Modi operieren: Near-Owner Mode (in Verbindung mit dem Gerät, an das der Tag gekoppelt wurde) und Separated Mode (das ergibt sich automatisch).

Jedes Tag sendet in regelmäßigen Abständen ein Signal in die Welt, in der Hoffnung, von einem vorbeifahrenden Smartphone gehört zu werden. „Periodisch“ heißt meist: Alle halbe bis zwei Sekunden. Das ist damit die Genauigkeit, mit der die Dinge oder Sie überwacht werden können.  Diese Dinger sind also ziemlich gesprächig.

Wenn sich das Tag in Reichweite des Smartphones des Besitzers befindet, mit dem es zuvor gekoppelt wurde, benachrichtigt das Smartphone des Besitzers das Tag, dass sein Besitzer in der Nähe ist. Dadurch wird der Tag in den „Near-Owner Mode“ versetzt, der unter anderem seine Standortübertragungen unterdrückt.

Auf hochdeutsch sagt das Handy dem Tag: Halt die Klappe, Pappa ist doch in der Nähe.

In der Spezifikation heißt es:

Das Zubehör MUSS vom Separated Mode in den Near-Owner Mode übergehen, wenn es für eine Dauer von höchstens 30 Minuten wieder mit dem Gerät des Besitzers vereint ist.“

https://datatracker.ietf.org/doc/pdf/draft-detecting-unwanted-location-trackers-00

Ich vermute jedoch, dass dieser Übergang in der Regel sofort erfolgt, weil es keinen Grund gibt, warum er nicht erfolgen sollte. Die Spezifikation lässt wahrscheinlich einen gewissen Spielraum um unterschiedliche Arten von Trackern für unterschiedliche Anwendungsfälle zu konstruieren.

Umgekehrt heißt es in der Spezifikation:

Das Zubehör MUSS vom Near-Owner Mode in den Separated Mode übergehen, wenn es für eine Dauer von nicht mehr als 30 Minuten physisch vom besitzenden Gerät getrennt ist.“

https://datatracker.ietf.org/doc/pdf/draft-detecting-unwanted-location-trackers-00

Da die Reichweite von Bluetooth LE begrenzt ist, ist es sinnvoll, dass ein Ortungsgerät nicht sofort in den „Separated Mode“ wechselt. Sie gehen für die Wäsche in den Keller, in die Garage zum Auto oder sowas. Dann sollte der Tracker nicht sofort schreien.

Hier steht, dass es dies innerhalb von 30 Minuten nach der Trennung vom Besitzer tun muss.

Eine der Definitionen in der Spezifikation ist die des „standortfähigen Zustands“ (location-enabled state). In der Spezifikation wird dies wie folgt erläutert.

Das Zubehör MUSS einen internen Zustand beibehalten, der bestimmt, wann sein Standort für den Besitzer über ein Netz verfügbar ist oder war. Dieser Zustand wird als „location-enabled“ bezeichnet.

Standortfähiges Zubehör kann missbraucht werden, wenn sich das Gerät des Besitzers (z.B. Handy) nicht in unmittelbarer Nähe des Tags befindet. Daher SOLLTE das Zubehör einen zweiten internen Zustand beibehalten, der als Zustand „Near-Owner State“ bezeichnet wird und anzeigt, ob das Zubehör mit einem oder mehreren Geräten des Besitzers verbunden ist oder sich in der Nähe befindet. Der Zustand „Near-Owner“ kann zwei Werte annehmen, entweder den Modus „Near-Owner“ oder den Modus „Separated“. 

https://datatracker.ietf.org/doc/pdf/draft-detecting-unwanted-location-trackers-00

Es gibt also nur einen der beiden Stati.

Wenn sich das Gerät im „location-enabled state“ befindet, sendet es Daten (sog. Payload), die den letzten Standort enthält, den es ermitteln konnte. Diese Nutzdaten werden, wenig überraschend, als „location-enabled payload“ bezeichnet, und in der Spezifikation heißt es:

Es wird EMPFOHLEN, dass die location-enabled Nutzdaten nur gesendet werden, wenn sich das Zubehör im getrennten Zustand befindet.

https://datatracker.ietf.org/doc/pdf/draft-detecting-unwanted-location-trackers-00

Der Grund für diese Empfehlung ist, dass die Erkennung unerwünschter Verfolgung sich auf die Bluetooth LE-Anzeigen stützt, die im location-enabled State gesendet werden, um festzustellen, ob ein unbekanntes Zubehörteil mit jemandem unterwegs ist, der nicht der Besitzer ist. Wenn die location-enabled Nutzdaten nur im getrennten Zustand angezeigt werden, minimiert dies falsch-positive unerwünschte Verfolgungswarnungen (Unwanted Tracking).

Klar: Die location-enabled Nutzdaten enthalten die neuesten Standortinformationen, die der Zubehöranhänger von einem Smartphone in der Nähe abrufen konnte. Es würde also keinen Sinn machen, dass ein Tag seinen Standort sendet, wenn er in der Nähe ist und sich daher im „Near-Owner-Modus“ befindet. Die Spezifikation fügt dann hinzu:

Das Zubehör MUSS die location-enabled Nutzdatenanzeige senden, wenn der Standort des Besitzers verfügbar ist oder innerhalb der letzten 24 Stunden verfügbar war. Auf diese Weise kann die Erkennung unerwünschter Ortung sowohl zwischen den einzelnen Momenten, in denen der Standort des Zubehörs für den Besitzer verfügbar ist, als auch darüber hinaus erfolgen.“

Der Tracker muss auch einen Bewegungsmelder enthalten. Dieser wird aktiviert, wenn der Tracker für einen gewissen Zeitraum nicht mit seinem Besitzer verbunden ist.

Es ergibt sich ein System, bei dem der Bewegungsmelder aktiviert wird, nachdem ein Tracker für einen unbestimmten Zeitraum, der zufällig und gleichmäßig zwischen 8 und 24 Stunden gewählt wird, von seinem Besitzer getrennt wurde. Zu diesem Zeitpunkt beginnt er, alle zehn Sekunden seine Winkelausrichtung (des Bewegungsmelders) in drei Achsen zu messen. Stellt er fest, dass er zwischen aufeinanderfolgenden Positionsmessungen um mehr als 10 Grad um zwei der drei beliebigen Achsen gedreht wurde, gibt er fünf Sekunden lang einen deutlich hörbaren Ton ab. Wird innerhalb dieser 10-Sekunden-Intervalle eine weitere Bewegung festgestellt, so wird er schärfer gestellt, so dass er mit zwei Abtastungen pro Sekunde beginnt, damit er mit dem Geräusch viel besser auf jemanden reagieren kann, der versucht, seinen Standort zu ermitteln. Übersetzt schreit der Tracker jetzt öfter, und ggf. auch lauter: Hallo, hier bin ich. Hallo.

All dies geschieht immer dann, wenn ein Tracker zwischen 8 und 24 Stunden von seinem Besitzer getrennt ist.

Damit wird gesagt: Jedes Gerät, das tracken kann, muss sich alle paar Stunden melden, wenn es nicht mit dem Besitzer verbunden ist.

Hinweis: Der Erkennung unerwünschter Tracking-Tags mit einem anderen Smartphone haben die Ingenieure viel Aufmerksamkeit geschenkt. Aber nicht jeder hat heute ein Telefon, das intelligent genug ist, um das eben beschriebene zu tun. Solange die AirTag-App von Apple nicht auf einem Android-Telefon läuft, kann kein Android-Benutzer einen unerwünschten Tracker in der Nähe erkennen. Wieviele Android-Besitzer wissen von der Apple App? Die App ist nur im Google Play Store zu finden. Was machen Menschen, die kein Konto im Google Play Store haben und wollen?

Mit dieser Spezifikation wird sich das für neue Android-Geräte bald ändern. Aber wir wissen, dass es noch jahrelang viele nicht aufgerüstete Android-Geräte geben wird, und es gibt auch immer noch weniger intelligente Mobiltelefone. Das bedeutet, um sich vor derartigem Tracking in Zukunft zu schützen, benötigen Sie ein aktualisiertes Betriebssystem, dass vielleicht nicht mehr für Ihr Handy angeboten wird. Oder Sie müssen es aktualisieren, aber dann laufen für eine bestimmte Zeit andere Apps nicht, weil diese noch nicht an die neue Version angepasst wurden. 

Es besteht eindeutig die Notwendigkeit, Tracker mit einfachen technischen Mitteln zu enttarnen, und da bietet sich der Ton an. Das ist sicher nicht das Mittel, das jemand wählen würde, der eine andere Person heimlich verfolgen will. Nachdem die anfängliche Zeitspanne von 8 bis 24 Stunden, in der der Sender von allen Geräten seines Besitzers getrennt ist, verstrichen ist, wird jeder Sender, der weiterhin getrennt bleibt, auffällige Geräusche erzeugen, sobald er deutlich bewegt wird. Nach zehnmaliger oder 20-sekündiger Bewegung im schnelleren Abtastmodus verstummt er für sechs Stunden, um dann wieder zu erwachen.

Der offensichtliche Schwachpunkt dieses Systems ist, dass für die Ortung zwar Funk, aber kein Ton benötigt wird. Wenn man also einen Tag in eine Art akustischen Unterdrückungsbehälter einschließt, der für Funk durchlässig ist, könnte das hörbare „Helft mir! Ich bin von meinem Besitzer getrennt worden!“-Hilferufe unterbinden. Für die AirTags gibt es Online viele Anleitungen, wie man den Lautsprecher deaktiviert ohne dem Rest des Trackers zu schaden.

Mal sehen wie einfach es in Zukunft wird, diese Lautsprecher zu deaktivieren. Bei der aktuellen Generation war das sehr einfach. Kein Ton, kein Auffinden, keine Warnung alle paar Stunden.

Neben der physischen Bewegung, die den Ton auslöst, kann auch jedes Gerät in der Nähe, das sich in Funkreichweite eines Trackers befindet, unabhängig davon, ob es sich um den Besitzer des Tags handelt oder nicht, aus der Ferne den Ton des Tags auslösen. Wenn also beispielsweise ein verdächtiger Tracker entdeckt wird, kann die Benutzeroberfläche des Smartphones, das die Tracker verwaltet, ein ungesehenes Gerät auffordern, einen Ton abzugeben, um seinen Standort zu bestimmen. Das erleichtert das Auffinden.

Beispiel: Ich sass in einem ICE in einem Grossraumabteil und habe mir den Spaß gemacht, zu sehen, welche AirTags so in der Umgebung sind. Und siehe da, es ware ein paar wenige. Dann habe ich diese piepen lassen. Die Gesichter der Reisenden, die nicht wussten, was los war, war spassig, zeigt aber auch: Die Menschen kaufen die Tracker und wissen nicht, was sie wirklich bedeuten. Jemand, der so einen Tracker kauft, sollte wissen, dass ein anderer diesen zum Klingeln bringen kann. Und sich nicht wundern.

Die Spezifikation beschreibt auch, dass ein Finder das Gerät deaktivieren können muss. Dazu wird die Produkt-ID ausgelesen, auf eine URL verwiesen, auf der eine geschriebene als auch visuelle Beschreibung steht, wie das Gerät zu deaktivieren ist. Dazu ist jedoch immer ein physischer Zugriff auf das Gerät erforderlich. Man muss also einen Knopf drücken oder an eine bestimmte Stelle des Trackers. Zumindest zum jetzigen Zeitpunkt in der Entwicklung der Spezifikation kann dies nicht aus der Ferne über Funk erfolgen. Es ist absehbar, dass dies über NFC erlaubt sein könnte, da dies im Wesentlichen physische Nähe erfordert und einfacher sein könnte.

Jedes Gerät enthält eine weltweit eindeutige Seriennummer und muss einfach auf dem Gerät zu finden und zu lesen sein. Da bin ich gespannt, was die unter „einfach zu lesen“ verstehen. Die Geräte sind klein, meine Augen nicht mehr die besten, auch wenn ich keine Brille benötige. Ob ich das lesen kann?

Für die Schreiber der Spezifikation gilt für die Seriennummer dasselbe wie für das Deaktivieren des Trackers. Man kann also durch Tippen auf den Tracker die Seriennummer angezeigt bekommen. Versteht sich der Tracker auf NFC, dann kann er wiederum eine URL an das Handy liefern, die dann eine Webseite anspricht, die die Seriennummer anzeigt. In der Spezifikation steht, die Seriennummer muss dabei entschlüsselt werden. 

Daraus geht hervor, dass die in der öffentlichen Registrierung enthaltenen Daten verschlüsselt sind und dass nur der Tracker selbst die Informationen enthält, die zur Entschlüsselung seiner eigenen öffentlich gespeicherten Seriennummer erforderlich sind. Wenn ein Nutzer auf einen Tracker trifft, der sich im „Separated“-Modus befindet, und er entweder eine Taste auf dem Tracker drückt oder es für einen Near Field Exchange antippt, erhält das Smartphone eine URL, die die Adresse der Abfrage und auch die Entschlüsselungsinformationen enthält, die zur Entschlüsselung der öffentlich gespeicherten und verschlüsselten Seriennummer erforderlich sind. Somit kann nur jemand, der im Besitz eines Trackers ist, diesen verwenden, um die Seriennummer elektronisch abzurufen.

Doch trotzdem muss die Seriennummer zusätzlich sichtbar auf dem Gerät angebracht sein. Ein Abfeilen der Nummer soll damit verhindert werden. Wie bei Pistolen. Vielleicht schaue ich zu viele Krimis.

Es gibt also eine Hardware- und eine Softwarelösung für den Erhalt der Seriennummer.