Hidden Feature in Android: Peilsender

Tja, da baut Apple so ein schönes Feature ein, und was macht man als Besitzer eines Smartphones mit Googles Android-Betriebssystem? Man ärgert sich, dass das eigene Gerät nicht auch gleich ab Werk eine eingebaute Vorratsdatenspeicherung hat und Bewegungsprofile aufzeichnet!

Dabei muss man das gar nicht! Google war nämlich so freundlich, und hat Android mit einer ganz ähnliche Funktion ausgestattet. Nur eine schöne Software zur Visualisierung mit Google Maps oder OpenStreetMap, die gibt es wohl (noch) nicht inzwischen auch (Siehe Nachtrag). Ein Python-Script zum Auslesen der beiden Dateien mit den gespeicherten Positionsdaten hingegen gibt es, und zwar bei github:

Following the latest days internet outrage/overreaction to the revelation that iPhone has a cache for its location service, I decided to have look what my Android devices caches for the same function.

This is a quick dumper I threw together to parse the files from the Android location provider.

The files are named cache.cell & cache.wifi and is located in /data/data/com.google.android.location/files on the Android device.

You will need root access to the device to read this directory. […]

PS: Wenn ich das Update bei github richtig verstehe, ist der für die Speicherung verantwortliche Code inzwischen nicht mehr Opensource. Kann das jemand bestätigen? Ich habe leider keine Android-Phone zur Hand.

Nachtrag, 21:55 Uhr: Siehe auch „Android geolocation using GSM network – Where was Waldroid“ (PDF) von Renaud Lifchitz auf dem 27c3 (via Christoph Kappes)

Nachtrag, 16:50 Uhr: In den Kommentaren mehren sich die Stimmen, das Android keine Positionsdaten von Mobilfunksendern und WLAN-Netzen zwischenspeichert, wenn die Frage „Allow Google’s location service to collect anonymous location data […]“ verneint wurde. Siehe auch:

Dieses Caching lässt sich bei Androiggeräten –>ABSCHALTEN Standort & Sicherheit -> Drahtlosnetzwerke deaktivieren

Ich habe das eben mit meinem HTC Wildfire mit CyanogenModv7 (basiert auf Android 2.3.3) verifiziert.

Bei iOS4 soll das nach Ansicht von Leo (fscklog) anders sein:

Diese Daten werden wohl im Rahmen der Diagnoseinformationen von iTunes „anonymisiert“ an Apple geschickt, was der Nutzer (einmalig) abnicken muss. Vermutlich sammelt iOS diese Daten selbst dann, wenn die Ortungsdienste ausgeschaltet sind.

Nachtrag, 17:00 Uhr: Ronny Stiftel war so nett und hat seine Tracking-Software „MyPhoneTracker“ (Mac) erweitert, um auch die Standortdaten aus den Android-Dateien zu visualisieren.

Nachtrag, 22:25 Uhr: Es bleibt spannend. Christoph Kappes verweist in den Kommentaren auf einen Artikel in der Wallstreet Journal, nach dem Googles Datenhunger möglicherweise größer ist, als mancher wahrhaben will:

In the case of Google, according to new research by security analyst Samy Kamkar, an HTC Android phone collected its location every few seconds and transmitted the data to Google at least several times an hour. It also transmitted the name, location and signal strength of any nearby Wi-Fi networks, as well as a unique phone identifier. […] Google seems to be taking a different approach, to judge from the data captured by Mr. Kamkar. Its location data appears to be transmitted regardless of whether an app is running, and is tied to the phone’s unique identifier.

Samy Kamkar ist in der Security-Szene keine Unbekannter. Mit seinem XSS-Wurm Samy knackte Kamkar 2008 MySpace und sammelte innerhalb von 24 Stunden mehr als eine Million „Freunde“ ein.

Eine Bestätigung seiner Beobachtung steht aber wohl noch aus. Unklar bleibt zudem, ob die Datenübermittlung auch bei deaktiviertem Standortdienst erfolgt. Andererseits: Ansonsten wäre es keine News.

So oder so, interessant bleibt auch der Hinweis auf einen „unique phone identifier“, also ein eindeutiges Kennzeichen, das bei der Datenübertragung übermittelt werden soll. Laut Google werden die Daten – bei entsprechender Freigabe – ja anonym gesammelt: „Allow Google’s location service to collect anonymous location data“

Nachtrag, 23.04., 13:30 Uhr: Google dementiert.

„Any location data that is sent back to Google location servers is anonymized and is not tied or traceable to a specific user.”

Mehr oder weniger. Jason Kincaid schreibt bei Techcrunch (Hervorhebung von mir):

Google explains that when a phone transmits data back to its servers some location data is actually assigned a unique identification number, but it says that this number is in no way associated with the device’s IMEI, the user’s name, or other information. In other words, they’d have a hard time associating a user with that data.

86 Kommentare
  1. Ursula von den Laien 21. Apr 2011 @ 21:46
      • Ursula von den Laien 21. Apr 2011 @ 22:56
      • Ursula von den Laien 22. Apr 2011 @ 1:21
    • Quarkwurst 22. Apr 2011 @ 1:43
      • Ursula von den Laien 22. Apr 2011 @ 18:46
  2. Christoph Kappes 21. Apr 2011 @ 21:58
    • Till Crueger 25. Apr 2011 @ 17:07
  3. Ursula von den Laien 21. Apr 2011 @ 22:06
      • Ursula von den Laien 22. Apr 2011 @ 13:32
    • jonnyrobert 22. Apr 2011 @ 12:44
    • Ursula von den Laien 22. Apr 2011 @ 18:03
  4. apfelmitbirnenvergle 22. Apr 2011 @ 17:25
  5. Ursula von den Laien 22. Apr 2011 @ 21:15
      • Ursula von den Laien 23. Apr 2011 @ 12:12
    • Ursula von den Laien 23. Apr 2011 @ 12:22
      • Ursula von den Laien 23. Apr 2011 @ 12:48
      • Ursula von den Laien 23. Apr 2011 @ 15:35
  6. pacific coast 24. Apr 2011 @ 0:05
Unterstütze unsere Recherchen und Berichterstattung für Grundrechte und ein freies Internet durch eine Spende. Spenden