Google erfasst via Android Positionsdaten trotz deaktivierten Standortdiensten

Android-Smartphones sammeln offenbar Positionsdaten und geben sie auch dann an Google weiter, wenn die Standortdienste deaktiviert sind. Das will Quartz herausgefunden haben. Die Daten werden sogar aufgezeichnet, wenn keine Apps benutzt werden und keine SIM-Karte im Gerät ist.

Konkret erfasst Android die Standorte von Mobilfunksendeanlagen in der Umgebung. Aus ihnen lässt sich per Triangulation der Standort errechnen. Da sie zudem kontinuierlich erfasst und übermittelt werden, kann Google theoretisch sogar ein genaues Bewegungsprofil erstellen.

Android-Smartphones gingen so bereits seit Anfang 2017 vor. Google habe die Erfassung der Positionsdaten bestätigt, heißt es in dem Bericht. Die Adressen der Mobilfunksendeanlagen würden zusammen mit anderen Informationen erhoben, die zur Übertragung von Push-Benachrichtigungen benötigt würden. Sie würden aber weder gespeichert noch benutzt, erklärte ein Sprecher des Internetkonzerns.

Die Datensammlung will Google nun zumindest im Rahmen der Funktion einstellen, die Nutzer nicht deaktivieren können. “Im Januar dieses Jahres haben wir begonnen, die Nutzung von ID-Codes von Mobilfunkzellen zu prüfen, um die Auslieferung von Nachrichten zu verbessern”, zitiert Quartz aus einer E-Mail von Google. “Wir haben die Cell-ID aber nie in unser Synchronisierungssystem integriert, sodass die Daten sofort verworfen wurden, und wir haben das System aktualisiert, damit es die Cell-ID nicht mehr abfragt.”

Standorterfassung durch Mobilfunkanbieter in Deutschland

Die erfassten Daten sind ausreichend, um vor allem in Gebieten mit hoher Dichte an Mobilfunkmasten die Standorte von Nutzern mit großer Genauigkeit zu ermitteln. Das verstößt möglicherweise gegen europäisches und deutsches Datenschutzrecht. Die Praxis der Mobilfunkanbieter, Standortdaten zu speichern, hatte 2011 die Bundesnetzagentur gerügt. Bis dahin speicherte Vodafone diese Information bis zu 210 Tage, E-Plus 80 Tage und die Deutsche Telekom 30 Tage. Die Bundesnetzagentur war nach einer Anzeige des Arbeitskreises Vorratsdatenspeicherung (AK Vorrat) im September 2011 tätig geworden.

Die Deutsche Telekom verteidigte diese Praxis mit dem Argument, das die Bewegungsprotokolle zur Überprüfung der Plausibilität von Einwendungen gegen Rechnungen verwendet würden. Das ließ die Bundesnetzagentur nicht gelten. Die Speicherung des Aufenthaltsorts sei nur bei standortabhängigem Tarif zulässig.

Standorterfassung über Schwachstelle in Mobilfunkstandards

Die Ausspähung des Standorts ist aber durch eine Schwachstelle in gängigen Mobilfunkstandards offenbar auch Ermittlungsbehörden, Kriminellen oder Werbetreibenden mit vertretbarem Aufwand möglich. Im Juli berichteten die Sicherheitsexperten Ravishankar Boraonkar und Lucca Hirschi, dass der Fehler bei der Authentifizierung beziehungsweise der Aushandlung eines Schlüssels auftritt. Experten in Deutschland konnten Proof-of-Concept-Angriffe auf Mobilfunknetze in Europa durchführen.

Da die Schwachstelle in den Standards für 3G- und 4G-Netze steckt, sind aber alle Mobilfunkanbieter weltweit betroffen und funktioniert die Ausspähung für die allermeisten Geräte unabhängig vom verwendeten Mobilebetriebssystem. Das für die Standards und das Protokoll verantwortliche Konsortium 3GPP räumte den Fehler bereits ein. Es stellte in Aussicht, dass der kommende 5G-Standard das Problem beheben wird.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de