Im Artikel über die Empfehlung Edward Snowdens kein WLAN zu benutzen habe ich unter anderem erwähnt, dass Google mit dem StreetView-Projekt auch gleich die Namen der WLANs in der Umgebung erfasst hat. Es stellt sich nun die Frage, ob und wie sich das verhindern lässt.
Google nutzt offenbar die öffentlichen Metadaten von WLANs in der Umgebung, um den physischen Standort von Smartphones zu erkennen. Wie im Snowden-Artikel beschrieben werden dabei die Informationen aus den Management Frames, insbesondere BSSID und SSID, mit GPS-Informationen verknüpft. Sobald GPS-Informationen und WLANs in der Datenbank verknüpft sind, ist dann kein angeschaltetes GPS mehr notwendig, um den Standort des Smartphones recht genau zu bestimmen. Zudem ist die Variante ohne GPS schneller, batterieschonender und funktioniert auch innerhalb geschlossener Räume.
Nehmen wir an, nicht nur StreeView sammelt die obigen Daten, sondern auch Android-Smartphones mit aktiviertem GPS verknüpfen die WLANs der Umgebung mit GPS-Daten. Dann entsteht eine recht aktuelle und umfassende Datenbank, die Google nutzen kann. So ist es besser möglich, Standortinformationen für Funktionen im Smartphone zu verwenden, auch ganz ohne GPS. Natürlich nur im Sinne der Nutzer.
Google bietet zwar die Möglichkeit, die Nutzung des eigenen WLANs von dieser Verwendung auszuschließen. Der Weg für das Opt-Out ist allerdings mehr als ungewöhnlich: Die SSID muss umbenannt werden und mit dem Zusatz „_nomap“ enden. Aus der SSID „Gast-WLAN“ wird demnach „Gast-WLAN_nomap“, um das Opt-Out auszulösen.
Wenn dann ein Smartphone diese nomap-SSID erfasst, wird diese Information an den Google Location Server übermittelt und entsprechend entfernt. Google selbst empfiehlt nach Umbenennung der SSID die hauseigene App Google Maps bei aktiviertem GPS in der Nähe des umbenannten WLANs zu starten. Dann muss die Funktion „Mein Standort“ verwendet werden.
Nicht nur Google
Nun gibt es nicht nur Google mit ihrem Location Server. Auch weitere Dienste nutzen die Metadaten des eigenen WLANs. Einige Dienste respektieren das nomap-Attribut, andere Dienste leider nicht.
Und auch Microsoft kocht ein eigenes Süppchen. Statt „_nomap“ wird hier „_optout“ irgendwo im Namen der SSID benötigt. Will man beidem widersprechen, ergibt sich im Beispiel also „Gast-WLAN_optout_nomap“.
Also ich habe bisher noch nie eine derartige SSID in freier Wildbahn finden können. Und wie man überprüfen kann, ob das Opt-Out wirklich funktioniert hat, konnte ich bisher auch nicht herausfinden.
Letztlich sind die genannten Punkte natürlich keine Garantie, dass die Dienste nicht trotzdem tracken. Denn wer weiß schon, was wirklich hinter den Türen der Anbieter passiert. Faktisch bleibt WLAN ein Kommunikationskanal in einem Shared Medium. Das bedeutet, dass jeder, der die Funksignale physisch empfangen kann, Metadaten wie die SSID mitlesen und gegebenenfalls weiterverarbeiten kann. Ist vielleicht nicht erlaubt? Nun, dazu müsste man erstmal mitbekommen, dass die Metadaten überhaupt mitgelesen werden.
Übrigens: Für diesen Fall mit einer versteckten SSID zu arbeiten, würde für diesen Fall nichts nützen. Auch Access Points mit versteckter SSID senden Beacon Frames mit den bekannten WLAN-Informationen aus, nur der SSID-Name bleibt eben leer. Die SSID hilft zwar beim Datenbankaufbau und ist schön lesbar, letzten Endes kommt es aber auf die Kombination aus (leerer) SSID und BSSID an. Die Kombination beider dürfte weltweit recht einzigartig sein. Auch aus anderen Gründen empfehle ich eher eine sichtbare SSID.
