Wie Telefonanzeigen französische Geheimdienstoffiziere enttarnten und was das für deine Privatsphäre bedeutet

Eine aktuelle Untersuchung(neues Fenster) von Le Monde zeigt, wie Daten, die mit Werbung auf Smartphones verknüpft sind, die Identitäten und täglichen Bewegungen von französischem Polizei-, Militär- und Geheimdienstpersonal (einschließlich Mitgliedern von Eliteeinheiten) offenlegen können.

Entscheidend ist, dass dies nicht das Ergebnis von Hacking oder einem Fehler war. Diese hochsensiblen Informationen wurden aus öffentlich verfügbaren und breit gehandelten Verbraucherdatensätzen gewonnen. Gewöhnliche Apps mit eingebetteter Ad-Tracking-Technologie sammelten ihren Standort und verkauften ihn an Datenbroker.

Zusätzlich zu den offensichtlichen Bedenken hinsichtlich der nationalen Sicherheit, die durch diese Untersuchung aufgeworfen wurden, zeigt sie, wie viele intime Daten über unser tägliches Leben für Werbetreibende über ein Verbraucher-Werbeökosystem leicht verfügbar sind, das keinen Schutz der Privatsphäre und keine Aufsicht hat.

Deine Apps teilen stillschweigend, wohin du gehst

Dieser „Hack“ nutzt passive Daten aus, die deine Geräte die ganze Zeit senden. So funktioniert es:

Die meisten kostenlosen Anzeigen verdienen Geld mit kleinen Code-Schnipseln, die von Werbenetzwerken bereitgestellt werden, bekannt als Advertising Software Development Kits (SDKs), die jedes Mal Daten sammeln, wenn du eine App öffnest oder eine Anzeige lädst. Diese Daten können Folgendes umfassen:

• Die Werbe-ID deines Telefons (ein eindeutiger Tracker)
• Deine IP-Adresse(neues Fenster)
• Standortinformationen (wir besprechen das weiter unten)
• Welche App du verwendest
• Wann du sie verwendest

Apps teilen diese Daten ständig im Hintergrund (auch wenn du nichts tust) und senden sie normalerweise an die Server des SDKs, nicht an die des App-Entwicklers. Von hier aus werden sie an Datenbroker weiterverkauft, die Informationen aus Tausenden von Apps zu einem detaillierten Verlauf deines Standorts kombinieren.

Diese Daten sind nicht anonym

Deine IP-Adresse identifiziert dein Telefon eindeutig und kann verwendet werden, um deinen Standort grob zu schätzen, ungefähr auf die Entfernung einer Stadt. Deine IP-Adresse ist jedoch eine allgemein bekannte Gefahr für die Privatsphäre und kann mithilfe eines VPNs leicht verborgen werden(neues Fenster). Heimtückischer sind Technologien, die behaupten, dich „anonym“ zu tracken.

Standortinformationen

Sowohl Android als auch iOS enthalten granulare Kontrollen für die Privatsphäre, mit denen du Apps den Zugriff auf deinen Standort verweigern kannst (was hauptsächlich direkten Zugriff auf deine GPS-Daten bedeutet). Apps können jedoch Daten von anderen Datenpunkten auf deinem Telefon verwenden, auf die sie zugreifen können, um deinen Standort mit überraschender Genauigkeit abzuleiten:

• WLAN-Netzwerke in der Nähe (die in globalen Datenbanken kartiert sind)
• Bluetooth-Beacons (oft in Geschäften, bei Terminen und in Verkehrssystemen platziert)
• Sensoren (einschließlich Bewegungsmuster und Funkzellenwechsel)

Werbe-ID

Die Werbe-ID deines Telefons (AAID auf Android, IDFA auf iOS) ist eine dauerhafte und eindeutige Gerätekennung, die speziell erstellt wurde, um App-übergreifendes Tracking zu ermöglichen. Theoretisch ist sie nicht an deinen Namen gebunden, aber da das Werbe-SDK Zugriff auf deine Standortdaten hat:

• Weiß es, wo du schläfst
• Weiß es, wo du arbeitest
• Kann es das Fitnessstudio, die Bar, die Geschäfte und Freunde tracken, die du besuchst, und dies mit anderen Informationen kombinieren, auf die es Zugriff hat (wie deine Social-Media-Präsenz), um deine Identität aus deinen täglichen Routinen abzuleiten.

Dies nennt man De-Anonymisierung von Mobilitätsmustern(neues Fenster), und ihre Fähigkeit, dich eindeutig zu identifizieren, wurde in der Forschung(neues Fenster) wiederholt bewiesen. Tatsächlich ist dies genau das, was Le Monde getan hat.

Datenbroker kaufen diese Daten in großen Mengen

Werbe-SDK-Anbieter und Ad-Tech-Unternehmen verkaufen oder teilen diese Telemetrie mit Datenbrokern, die:

• Sie aus Millionen von Apps aggregieren
• Verläufe von Bewegungen auf Geräteebene erstellen
• Datensätze an Werbetreibende, Hedgefonds, politische Kampagnen und jeden anderen weiterverkaufen, der bereit ist zu zahlen

Diese Datensätze können Milliarden von präzisen Standort-Pings enthalten, die an Werbe-IDs gebunden sind.

Die Untersuchung von Le Monde

Journalisten von Le Monde kauften diese öffentlich verfügbaren Datensätze einfach von Datenbrokern und nutzen sie, um nach Geräten zu suchen, die Nächte an einer Adresse verbrachten (wahrscheinlich das Zuhause des Benutzers) und tagsüber regelmäßig einen Standort besuchten (wahrscheinlich der Arbeitsplatz des Benutzers). Wenn diese Arbeitsplätze bekannte sensible Einrichtungen waren, wie das Hauptquartier des DGSE (das französische Äquivalent der CIA), eine Militärbasis oder eine Atomanlage, war es einfach, auf die Rolle des Besitzers in einer Regierungsorganisation zu schließen.

Sie waren dann in der Lage, ihre Bewegungsmuster mit öffentlich verfügbaren Informationen wie Social-Media-Aktivitäten, LinkedIn-Profilen und Eigentumsdatensätzen abzugleichen, um die Identitäten der Personen zu bestimmen. Mit dieser Technik de-anonymisierte und trackte Le Monde die intimen täglichen Bewegungen von:

• Geheimdienstoffizieren französischer Dienste
• Elitepolizeieinheiten und Schutzdiensten
• Mitgliedern von Eingreiftruppen wie der GIGN
• Militärpersonal, das auf Schlüsselbasen stationiert ist (einschließlich nuklearer Abschreckungseinrichtungen)
• Führungskräften der Verteidigungsindustrie
• Gefängnispersonal
• Mitarbeitern von Kernkraftwerken

Die Untersuchung von Le Monde erinnert stark an einen Bericht des Institute for United Conflict Analysts aus dem Jahr 2017, das in der Lage war, den Standort und die Besetzung von US-Militärbasen(neues Fenster) und Spionageaußenposten auf der ganzen Welt anhand öffentlich verfügbarer Trainingsdaten zu bestimmen, die Soldaten auf das Fitness-Tracking-Unternehmen Strava hochgeladen hatten.

Warum das wichtig ist

Die Auswirkungen auf die nationale Sicherheit, wie diese öffentlichen Daten missbraucht werden können, sind klar. Es zeigt jedoch auch, wie viel unseres digitalen Alltagslebens stillschweigend überwacht und monetarisiert wird. Ad-Tracking-Daten können Folgendes offenbaren:

• Wo du wohnst
• Wo du arbeitest
• Deine Routinen und Gewohnheiten
• Deine Beziehungen
• Deine politischen oder religiösen Zugehörigkeiten
• Deine Arzttermine
• Überall, wo du hingehst (Stunde für Stunde und mit einer Genauigkeit von wenigen Metern)

Bei einer derart allgegenwärtigen werbegetriebenen Überwachung und Datenweitergabe ist es unvermeidlich, dass sensible Informationen schließlich in die Hände von Personen gelangen, die sie missbrauchen wollen. Kriminelle könnten sie beispielsweise nutzen, um Social-Engineering-Angriffe glaubwürdiger zu machen, oder Stalker könnten sie nutzen, um dich aufzuspüren(neues Fenster). Überwachungsbasierte Werbung schafft eine direkte Bedrohung für deine Identität, Finanzen und physische Sicherheit.

Was kannst du dagegen tun?

Es gibt keine Möglichkeit, alle Arten von Tracking zu stoppen, aber du kannst die folgenden Maßnahmen ergreifen, um die Granularität der gesammelten Datensätze zu verringern:

• Schalte Standortdienste aus(neues Fenster), wenn sie nicht verwendet werden, und verweigere Apps Standortberechtigungen.
• Verwende ein VPN(neues Fenster), um deine echte IP-Adresse zu verbergen. DNS-Filterfunktionen wie der NetShield Ad-blocker(neues Fenster) von Proton VPN können auch dabei helfen, Anzeigen- und Tracker-Skripte zu blockieren.
• Lösche deine Werbe-ID auf Android (Einstellungen → Google → Alle Dienste → Werbung → Privatsphäre und Sicherheit → Werbung → Werbe-ID löschen). iPhones bieten diese Option nicht.

Wenn Elite-Sicherheitseinheiten enttarnt werden können, kann es jeder

Die Untersuchung von Le Monde zeigt, dass die Gefahren allgegenwärtiger und unregulierter Werbung nicht nur ein theoretisches Bedenken sind. Die in der Untersuchung identifizierten Personen hatten nichts Unvorsichtiges getan: Sie benutzten einfach normale Smartphones mit normalen Apps. Wie wir alle.

Das Problem ist strukturell. Werbefirmen sammeln zu viele Daten, App-Entwickler betten Tracking-Tools ein, die sie nicht vollständig verstehen, oder priorisieren einfach Gewinne vor der Sorge um die Sicherheit ihrer Benutzer, Datenbroker verkaufen Standort-Datensätze an fast jeden, und Regulierungsbehörden sind weitgehend ineffektiv.

Wenn eine ganze Industrie auf ständiger Standortüberwachung aufgebaut ist, können selbst hochqualifizierte Fachleute nicht vermeiden, getrackt zu werden. Und du auch nicht.