Dass feste Hardware-Identifikatoren ein echtes Problem für die Privatsphäre sein können, dürfte sich mittlerweile herumgesprochen haben – haben doch Firmen wie Apple und Google den Zugriff auf solch sensible Daten bei ihren Smartphone-Betriebssystemen über die Jahre massiv beschränkt, um App-übergreifendes Tracking zu erschweren. Doch es ist eben nicht nur das Smartphone, das seine Nutzer verraten kann, wie eine aktuelle Untersuchung eines norwegischen Studenten in Kooperation mit dem öffentlich-rechtlichen Sender NRK aufzeigt.

Testfahrt

Bjørn Martin Hegnes ist für sein Experiment mehr als 300 Kilometer mit dem Rad durch Oslo unterwegs gewesen. Im Gepäck Empfangsgeräte, die Bluetooth-Signale in einem Umkreis von bis zu 100 Metern abfangen und deren Kennung mitprotokollieren. Mehr als 1,7 Millionen einzelne Einträge sind dabei zusammengekommen, fein säuberlich protokolliert mit Standort und Zeit. Die Auswertung des Datensatzes veranschaulichte das Probleme schnell – fanden sich darin doch eine Fülle an drahtlosen Kopfhörern, von denen wiederum ein Teil eine statische MAC-Adresse verwendet. Mit dieser Hardwarekennung konnte Hegnes dann die Bewegungen von 129 Nutzern quer durch die Stadt verfolgen – und zwar über den gesamten Testzeitraum von 24 Stunden. Es wäre also möglich gewesen, Bewegungsprofile einzelner Personen zu erstellen

Ganz neu ist diese Erkenntnis natürlich nicht. So ist bekannt, dass zum Teil Supermärkte oder auch Flughäfen Bluetooth-Signale mitprotokollieren, um Bewegungsprofile der Nutzer zu erstellen. Entsprechend ist es bei Bluetooth Low Energy, das heutzutage üblicherweise für Verbindungen mit Kopfhörern benutzt wird, möglich, die MAC-Adresse regelmäßig neu erstellen zu lassen. Das verhindert effektiv ein Tracking über diese Kennung.

Altlasten

Die Untersuchung zeigt nun aber auf, dass dieser Schutz längst noch nicht universell verfügbar ist. Der Grund dafür: Aus Kompatibilitätsgründen unterstützen viele Kopfhörer noch ältere Bluetooth-Versionen und benutzen so weiter statische MAC-Adressen. Dabei geht es keineswegs nur um veraltete Hardware, wie man meinen könnte. Zu den betroffenen Geräten zählen etwa auch die weitverbreiteten Bose Quietcomfort 35 – und zwar sowohl in der ersten als auch der zweiten Generation. Bose reagierte auf Anfragen der Journalisten zu dem Thema nicht.

Doch auch andere Hersteller finden sich in der Liste der von Hegnes aufgespürten Kopfhörer – von Bang & Olufsen über Jabra bis zu JBL und Sennheiser. Bei Bang & Olufsen betonte man auf Nachfrage, dass es sich dabei um ältere Modelle (Beoplay E8, Beoplay H7, Beoplay H8i, Beoplay H9) handle, bei allen seit 2019 erschienen Geräten würden die MAC-Adressen randomisiert. Vonseiten Jabras gibt man sich etwas vager und spricht nur davon, dass man bereits Modelle ohne statische MAC-Adresse im Angebot habe. Bei Sennheiser ist dies zugegeben nicht der Fall, erst mit neuen Modellen im Jahr 2022 soll sich das ändern.

Unachtsamkeit

Doch die Untersuchung von Hegnes zeigt noch ein anderes Privacy-Problem auf, das allerdings mit mangelndem Wissen der Nutzer selbst zu tun hat. Bei 36 Personen war es nämlich besonders einfach, sie zu identifizieren – haben sie doch ihre Bluetooth-Kopfhörer mit ihrem vollen Namen versehen. Dass diese Kennung dann auch öffentlich ausgesendet wird, dürfte den meisten wohl nicht bewusst sein. Übrigens hat der Student bei seiner Untersuchung natürlich nicht nur Kopfhörer gefunden, in dem Datensatz fanden sich auch zahlreiche andere Geräte – von Fernsehern über Laptops bis zu Kühlschränken. (apo, 6.9.2021)