Die Sache mit den Standortdaten...

Apple speichert die Standortdaten von iPhone und iPad 3G in einer Datei auf den Geräten sowie ggf. als Backup auf den damit synchronisierten Desktop-Rechnern. Die Daten lassen sich z.B. mit dem von Alasdair Allan und Pete Warden entwickelten Mac OS X Programm iPhone Tracker auslesen und darstellen (Nachtrag dazu). Zuvor hatten bereits (mindestens) Alex Levinson, Paul Courbis und Ryan Neal diese Datenbank entdeckt und darüber berichtet, aber das hat weiter niemanden interessiert. Es musste erst ein Programm mit einer schönen Landkarte veröffentlicht werden, damit das grundlegende Problem erkannt wird. Und vom Programm gibt es inzwischen auch Portierungen für Linux (iPhoneMap) und Windows (iPhoneTrackerWin).

Ein "neues" Feature

Betroffen sind iPhones seit iOS 4.0 und iPad 3G seit iOS 3.2, in denen der locationd die Standortdaten in der unverschlüsselten Datei consolidated.db speichert. Die wird beim synchronisieren auch auf den dafür verwendeten Desktop-Rechner übertragen, kann dort aber optional verschlüsselt werden. Selbst wenn die Daten nicht an Apple übertragen werden, stellen sie auf den Geräten eine Gefahr da, da sie dort ggf. ausgelesen werden können. Das wird zwar kaum durch eine bösartige App gelingen, da die die dafür nötigen root-Rechte hoffentlich nicht besitzt, aber es sei nur an die gejailbreakten iPhones mit SSH-Daemon mit Default-Passwort erinnert, über die bereits Würmer eingedrungen sind - darüber ließen sich dann auch die Standortdaten auslesen.

Die Sicherheitsfanatiker, mal wieder

Außerdem sind die Informationen natürlich für forensische Untersuchungen äußerst interessant, und ein entsprechendes Tool gibt es bereits. Das wird natürlich nur streng im Rahmen der Lizenzbedingungen und des 4. Verfassungszusatzes der US-Verfassung eingesetzt. Erst mal kann ich mir dazu ein "Das kann auch nur ein typischer Ami schreiben" einfach nicht verkneifen. Und selbst für die gilt der 4. Verfassungszusatz nicht unbedingt, wie viele schon auf US-Flughäfen feststellen durften.

Und dann frage ich mich, wieso z.B. die übereifrigen Terroristen-Sucher der TSA auf den US-Flughäfen gerade auf das Auslesen dieser Daten verzichten sollten? Wer Notebooks kontrolliert, kann dabei auch gleich das Backup der Standortdatenbank kopieren. Und wenn das dann verschlüsselt ist, muss der Besitzer ja wohl ein böser Terrorist sein, den man sich gleich mal genauer ansieht. Und was für Notebooks gilt, gilt auch für deren kleine Geschwister, die Smartphones. Und selbst wenn diese Daten zur Zeit nicht beachtet werden sollten... was nicht ist, kann ja noch werden - es muss nur mal wieder jemand "Wer hat Angst vor Al Quaida / Osama Bin Laden / wer auch immer gerade "in" ist?" rufen, und die Sicherheitspolitiker laufen Amok.

Ich weiß, wo Du warst... jedenfalls ungefähr

Die Frage ist nur, ob sich mit den Daten wirklich viel anfangen lässt. Wie genau und aussagekräftig die Daten sind, bzw. wie ungenau, wurde z.B. von Sean Gorman, David Schlesinger, Peter Batty und Will Clarke (noch mehr) untersucht. Das Ergebnis könnte man wohl boshaft mit "Das Land stimmt meistens" zusammenfassen.

Die "Sinn und Zweck"-Frage

Wozu sollen diese Daten dienen? Vermutlich werden die Daten in Zusammenhang mit Apples eigenen Lokalisierungsdienst verwendet, sicher ist das aber nicht. In der Default-Einstellung werden zu dessen Verbesserung zweimal täglich gesammelte Standortdaten an Apple gesendet. Ob dazu auch diese Daten gehören, ist nicht bekannt. Sie könnten genau so gut auch für andere, vielleicht sogar erst geplante, Zwecke, gesammelt werden. Wie wäre es mit einer Art "Erinnerungsfunktion", so dass sich das iPhone an den zurückgelegten Weg "erinnert" und auf einer Karte die in dieser Gegend bereits besuchten Orte anzeigen kann? Frei nach dem Motto "Letzte Woche sind wir hier aber links abgebogen und dann da drüben zum Italiener gegangen!" oder "Du warst so oft beim schottischen Spezialitätenrestaurant, da drüben ist auch eins..."? Personalisierte Werbung lässt grüßen...

Angeblich hat Steve Jobs auf eine Anfrage nach den Daten persönlich geantwortet:

"Q: Steve,

Could you please explain the necessity of the passive location-tracking tool embedded in my iPhone? It's kind of unnerving knowing that my exact location is being recorded at all times. Maybe you could shed some light on this for me before I switch to a Droid. They don't track me.

A: Oh yes they do. We don't track anyone. The info circulating around is false.

Sent from my iPhone"

Ob die Aussage wahr ist oder nicht und ob sie wirklich von Steve Jobs stammt oder nicht - wer weiß? In den USA hat ein Kongressabgeordneter eine entsprechende Anfrage an Apple gerichtet. Der gleiche Abgeordnete hatte auch schon im letzten Jahr Auskunft über die gespeicherten Daten verlangt und erhalten, warten wir also mal ab, was diesmal raus kommt.

Update 28.4.:
Apple hat eine Stellungnahme veröffentlicht. Es werden nicht die Standortdaten der Benutzer protokolliert, sondern eine Datenbank mit den Standorten von WiFi-Hotspots und Handy-Masten unterhalten. Diese Daten werden verwendet, um die Position des Geräts zu berechnen. Dadurch ist eine ggf. durchzuführende Ortsbestimmung schneller als bei einer rein GPS-gestützten Ortung. Die notwendigen Daten werden auf Apples Servern gesammelt, eine zum jeweiligen Standort des iPhones passende Untermenge regelmäßig als Cache auf das iPhone übertragen. Die im Gegenzug vom iPhone zur Vervollständigung der Datenbank an Apple gesendeten Positionen von WiFi-Hotspots und Handy-Masten werden anonymisiert (und verschlüsselt, aber das ist in dem Zusammenhang uninteressant) an Apple übertragen, so dass Apple nicht auf die Standorte der Benutzer schließen kann.
In einigen Wochen will Apple ein Update veröffentlichen, dass die Größe des auf den iPhone gespeicherten Datenbankausschnitts reduziert (was aus Datenschutzsicht nicht nötig ist, da sich daraus doch nichts über den Benutzer herausfinden lässt), das Backup der Datenbank ausschaltet (ein Backup ist ja auch völlig überflüssig, da die Daten ja sowieso in unregelmäßigen Abständen von den Apple-Servern heruntergeladen werden) und die lokale Datenbank komplett löscht, wenn die Location Services ausgeschaltet werden (was durchaus zweckmäßig ist, da die nicht mehr benötigten Daten nur unnötig Speicherplatz belegen).

Damit ist auch geklärt, warum die gesammelten "Standortdaten" so ungenau sind: Sie enthalten auch Standorte, an denen der jeweilige Benutzer nie war. Und damit stimmt auch Steve Jobs angebliche Aussage: Apple speichert die Standortdaten der Benutzer nicht, Google dagegen schon.
Ende des Updates

Update 5.5.:
Apple hat das angekündigte iOS 4.3.3 Software Update veröffentlicht, mit dem die Cachegröße verringert und das Backup des Caches in iTunes unterlassen wird. Beim Ausschalten der Location Services wird der Cache nun vollständig gelöscht.
Ende des Updates

Google und die Android-Standortdaten

Auch Google sammelt die Standortdaten von Android-Smartphones, allerdings anscheinend nur in einem Cache mit 50 Einträgen für Handy-Masten und 200 Einträgen für WiFi-Basisstationen und nicht in einem ausführlichen Logfile. Android-Geräte senden diese Daten nur nach Zustimmung des Benutzers an Google. Dabei werden die Daten anonymisiert, eine verwendete Unique ID ist unabhängig von der IMEI oder MEID des Geräts. Ein Tool zum Auslesen des Android-Caches wurde auch bereits veröffentlicht. Ob die Daten auf den Google-Servern besser aufgehoben sind als auf iPhone/iPad und Desktoprechner? Also ich stehe ja auf den Standpunkt, dass Google sowieso schon zu viele Daten zusammengerafft hat und sie nicht noch mehr über mich zu wissen brauchen. Und eine eindeutige ID bei anonymisierten Daten gefällt mir auch irgendwie nicht so besonders.

Die Aussagekraft von Standortdaten

Was die Standortdaten der Vorratsdaten über einen Benutzer verraten, wurde ja am Beispiel der Daten des Grünenpolitikers Malte Spitz eindrucksvoll demonstriert. Was sich aus den ebenfalls im Rahmen der Vorratsdatenspeicherung gespeicherten Kontaktdaten, den angerufenen Telefonnummern bzw. den Nummern, von denen Anrufe empfangen wurden, schließen lässt, wurde aus gutem Grund nicht demonstriert. Und für was die Polizei die Standortdaten z.B. gerne nutzen möchte, hat Udo Vetter sehr schön beschrieben.

Schutzmaßnahmen

Es gibt einen ganz einfachen Schutz vor dem Erstellen von Standortprofilen: Man muss nur sein Handy ausgeschaltet lassen. Das wäre vielleicht sogar noch zumindest zeitweise praktikabel, nämlich immer dann, wenn man für einige Zeit nicht erreichbar sein will. Sowie man das Handy aber wieder einschaltet, ist es mit dem Schutz natürlich vorbei. In dem Moment, in dem man selbst irgendwen anrufen möchte, kann man geortet werden bzw. das Handy Standortdaten speichern und nach Hause telefonieren. Das liegt in der Natur (oder besser: Technik) der Sache und lässt sich nicht ändern.

Also muss man sich andere Maßnahmen überlegen. Dazu muss man erst mal zwischen zwei Aspekten des Problems unterscheiden. Zum einen die Daten, die der Handy-Hersteller/-Entwickler sammelt und zum anderen die, die der Netzbetreiber sammelt (und ggf. längerfristig speichern muss, falls die Vorratsdatenspeicherung wieder eingeführt wird).

Gegen die Sammelwut der Netzbetreiber kann man als Benutzer wenig machen. Sofern man erreichbar sein will oder telefonieren will, fallen die Daten an und die Netzbetreiber können sie sammeln. Immer im Rahmen der Gesetze, aber wie wir ja wissen, möchten die Politiker meist sogar mehr bzw. länger speichern als die Netzbetreiber. Die einzige Möglichkeit, keine Datenspuren zu hinterlassen, besteht darin, die Nutzung des Handys einzuschränken. Aber besonders viel wird man damit nicht erreichen. Wenn man z.B. sein Handy über Nacht ausschaltet, liegt der Schluss nahe, dass man die Nacht entweder an dem Ort verbracht hat, an dem das Handy zuletzt eingeschaltet war, oder an dem es am Morgen wieder eingeschaltet wurde.

Etwas besser sieht es bei der Sammelwut der Handy-Hersteller und -Entwickler aus. Sofern die bekannt wird, kann man meist etwas dagegen unternehmen. Für Android gibt es ein Tool, dass zum einen den Cache auslesen, zum anderen durch Ändern der Zugriffsrechte auch dessen Nutzung durch den die Daten sammelnden LocationProvider verhindern kann. Danach können keine Daten mehr gespeichert werden. Für das iPhone und iPad gibt es allerdings keine entsprechende Lösung. Als Alternative kann man notfalls auch das Handy-Modell wechseln (was allerdings bei subventionierten Geräten und entsprechenden Handyverträgen ziemlich teuer werden kann). Außer iPhones und Android-Geräten gibt es ja z.B. noch Windows Mobile bzw. Phone - ob das Standortdaten (oder sonstige Daten) sammelt, weiß ich zur Zeit gar nicht. Aber wenn, wäre das im Zuge der iPhone-Entdeckung sicher schon berichtet worden.

Ach ja: Und nicht vergessen, dass auch manche Apps gerne nach Hause telefonieren und Bescheid sagen, wo sie gerade sind. Natürlich nur, damit sich Mama und Papa Entwickler keine Sorgen machen!

Carsten Eilers