Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

January 28 2014

“Leave Traffic Here” – Wenn du nicht willst, dass die NSA es weiß, erzähl es auch nicht deinem App-Anbieter

Woran merkt man, dass die aktuellen Enthüllungen um NSA und GCHQ sich auf die jüngere Vergangenheit beziehen?

  1. Es hat mit Smartphones und Angry Birds zu tun.
  2. Die Präsentationen sehen nicht mehr ganz so grausam aus.

Aber zurück zu den Inhalten: In einem gemeinschaftlichen Bericht haben New York Times, The Guardian und ProPublica neue Dokumente aus dem Snowden-Fundus kommentiert. Die demonstrieren, wie Inhaltsdaten aus Smartphone-Apps NSA und GCHQ bei der Informationsbeschaffung dienen. Dass sich die Geheimdienste mittlerweile auf Smartphones konzentrieren, liegt nahe. In der GCHQ-Präsentation heißt es, man erwarte, dass 2015 90% des Internetverkehrs von Mobilgeräten stammen werde.

Ausgenutzt wird dabei die Tatsache, dass jede Menge existierender Apps eine Vielzahl an Informationen über den Nutzer und dessen Gerät sammeln, auch wenn diese nicht für den eigentlichen Bestimmungszweck notwendig wären. Wie im Beispiel der Taschenlampen-App, die fleißig Ortsinformationen übertrug, um sie danach gewinnbringend an Marketingfirmen weiterzuleiten.

Die Übertragung solcher Informationen ist im Regelfall nicht weiter geschützt, die Angaben laufen teilweise sogar im Klartext durch das Netz und es ist nur logisch, dass die Geheimdienste das ausnutzen. Oder wie es der Untertitel der NSA-Präsentation treffend sagt: “Identifizierung/Verarbeitung/Erledigung – Alles nichts Besonderes”

Neben statischen Angaben zu Geschlecht, Alter, sexueller Orientierung, die von manchen Apps gesendet werden, sind die Geheimdienste vor allem auch an übertragenen Ortsinformationen interessiert. So weist die NSA darauf hin, dass GPS-Daten von Android unverschlüsselt übertragen werden und sich aus Fotos, die ein Nutzer macht und auf eine Plattform hochlädt, durch Auslesen der EXIF-Informationen Zeit und Ort der Aufnahme extrahieren lassen: “Es liegt alles in den Metadaten, nicht in den hübschen Bildern.”

Weitere Angaben, an denen man interessiert ist, umfassen unter anderem Adressbücher, heruntergeladene Dokumente, unterstützte und eingesetzte Verschlüsselung, besuchte Websites und Telefoneinstellungen. Schon jetzt könne man die Ortsinformation über praktisch jedes Telefon ermitteln. Herausforderungen scheinen aber noch darin zu liegen, die Angaben automatisch so zu taggen, dass sie für Analysten nützlich sind.

Illustration aus der NSA-Präsentation

Illustration aus der NSA-Präsentation

Was diese Nachrichten uns Neues bringen, ist nicht, dass die NSA Informationen auf unseren Mobiltelefonen ausspäht, sondern dass es ihnen durch die Praxis der App-Entwickler und Anbieter mobiler Dienste unvorstellbar leicht gemacht wird. Niemand kann plausibel erklären, warum eine App wie AngryBirds wissen muss, ob der Nutzer verheiratet, geschieden oder Single ist. Daten, die nicht entstehen, können nicht abgegriffen werden. Und da liegt die Verantwortung nicht nur bei Politik und Gesetzgebung, der NSA das Schnüffeln zu verbieten, sondern auch bei den Entwicklern, Datensparsamkeit umzusetzen. Und bei jedem Einzelnen selbst, kurz innezuhalten, bevor er Informationen von sich preisgibt. Und zu überlegen, ob diese zur Erfüllung seines Ziels wirklich notwendig sind.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

December 06 2013

Kleine Taschenlampe brenn’…aber bitte gib meine Daten nicht weiter

Als die ersten Taschenlampen-Apps für Smartphones aufkamen, habe ich mich noch heimlich lustig gemacht. Dann habe ich mich gewundert, warum es immer noch mehr werden (auf Google Play fand ich gerade auf Anhieb knapp 250 nur unter dem Stichwort “Flashlight”) und mir das damit erklärt, dass die Taschenlampe mit Sicherheit eine Art Einstieg für Android-Programmierer darstellt. Auch wenn ich persönlich dann doch lieber den klassischen “Hallo Welt”-Button-Weg gegangen bin.

Aber es stellt sich heraus, dass in Taschenlampen-Anwendungen mittlerweile zeitgemäß auch verborgene Schnüffel- und Marketingmechanismen stecken. In einer aktuellen Mitteilung hat die amerikanische Handelskommission, die über Wettbewerb und Verbraucherschutz wacht, über ihre Beschwerde gegen den Entwickler GoldenShores Technologies, LLC berichtet. Dieser hatte die Androidanwendung Brightest Flashlight Free ® veröffentlicht, die bisher 1.004.000 Mal heruntergeladen wurde.

Während sie dem Nutzer beim Erleuchten seiner Umgebung half, sammelte sie im verborgenen Schatten Daten über den Aufenthaltsort des Smartphones und leitete diese, zusammen mit der Gerätenummer, an den Urheber weiter – der die Informationen dann an Dritte verteilte – darunter auch Marketingfirmen.

Dazu kam eine gezielte Missinformation des Nutzers. Dieser konnte zwar einer Übermittlung seiner Daten widersprechen, wirksam wurde das aber nicht. Von einer Weiterleitung an Dritte war überhaupt keine Rede, ganz davon abgesehen, dass die App schon vor Akzeptieren des Endnutzervertrages mit dem Datensammeln- und verteilen anfing.

Das Unternehmen muss nun seine Nutzungsbedingungen ändern, die Nutzer informieren und die bisher gesammelten Informationen löschen. Ein schwacher Trost, der Großteil davon ist sicherlich bereits gewinnbringend weiterverkauft. Wo sich wieder einmal die Frage stellt, wie viel der Nutzer für eine “kostenlose” App wirklich bezahlt.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

November 12 2013

Kunden, die diesen Kohlrabi kauften, kauften auch diese Mohrrüben …

Dass wir bei Onlinehändlern wie Amazon in Konsumentenschubladen gesteckt werden und man uns Produkte empfiehlt, die Menschen mit der gleichen Schuhgröße, Religionszugehörigkeit, Lieblingsfarbe, Blutgruppe, … auch schon gekauft haben, kennen wir.

Bisher blieb dem Offline-Markt diese Marketingstrategie weitestgehend verwehrt. Es gibt natürlich Payback- und andere Bonuskarten, die gegen einen Rabattbetrag die Einkaufsgewohnheit der Kunden aufzeichnen und damit Profile bilden können. RFID-Chips in Kleidung gehen noch eine Stufe weiter und operieren weitestgehend ohne die Kenntnis des Trägers.

Zu großflächigem personalisierten Direktmarketing im Offline-Geschäft ist es jedoch bis heute nicht gekommen. Es war nämlich schwierig, festzustellen, welches Produkt ein Kunde gerade ansieht, vor kurzem angesehen hat oder in seinen Einkaufswagen legt, was dem Besuch einer Produktseite, der Browserhistory oder dem Klick in den Warenkorb im Internet entspräche.

Hinweis auf Smartphone-Tracking bei Nordstrom

Hinweis auf Smartphone-Tracking bei Nordstrom

Point Inside, ein Startup aus dem US-Bundesstaat Washington, hat nun ein System namens StoreModetm entwickelt, das dem Abhilfe verschaffen soll. Basis ist ein genaues Trackingsystem, das ausgehend von einem bekannten Ort – wie dem Eingang des Gebäudes  – anhand des Gyroskops, Accelerometers und Kompasses im Kunden-Smartphones dessen Weg durch das Geschäft ermittelt. Dadurch ergibt sich eine recht präzise Positionierung der Einzelperson und man erhält Aufschluss darüber, wie lange sie sich wo aufhält. In der Selbstdarstellung der Firma klingt das so:

Das Shoppingerlebnis wird durch die grafische Präsentation des genauen Produktstandorts und effizienter Routen durch den Laden verbessert. Personalisierte Angebote, Produktvorschläge, Rabatte und noch mehr werden in Echtzeit auf Basis des Kundenstandorts, seiner Absichten, Handlungen und Profile geliefert. Kunden erhalten einen größeren Nutzen und haben ein viel angenehmeres Shoppingerlebnis.

In der Realität könnte man sich also vorstellen, dass die Kundin gerade Brot und Butter in den Einkaufskorb gelegt hat und eine kurze Nachricht bekommt, dass sie den Käse nicht vergessen soll, der gerade im Sonderangebot ist.

Andere Startups setzen bei der Ortsbestimmung ohne die notwendige Involvierung oder Zustimmung des Nutzers vor allem auf WLAN-Ortung. Dabei wird die Signalstärke von Gerät zu den WLAN-Access-Points in der Umgebung analysiert und durch Kombination dieser Angaben der Aufenthaltsbereich des Nutzers eingekreist. Durch die zunehmende Häufigkeit öffentlicher Access Points wird diese Technik immer geeigneter zur Ermittlung der Position in geschlossenen Räumen, wo GPS nicht geeignet ist.

Apple hat mit iBeacon bereits einen Shopping-Tracker in seine neuen iPhones eingebaut. Über Bluetooth und eine spezielle App melden sich die Handys bei sogenannten Beacons, Bluetooth-Modulen, die eine Ortung der Geräteposition vornehmen können. Die Managementberatung Mücke, Sturm & Company hat die Marktpotentiale der Technologie untersucht und ist zu dem Ergebnis gekommen, man könne die “vollständige Verkaufsfläche zu geringen Kosten mit Beacons versehen [15.000 Euro für das KaDeWe Berlin] und den Kunden situationsgerecht ansprechen”. Etwas verwundert gibt man sich jedoch über die bisherige Zurückhaltung von Apple selbst bei der Vermarktung:

Bei der Vielfalt an attraktiven Use Cases, die iBeacon bietet, ist es  verwunderlich, dass Apple keine offensive Vermarktung betreibt.  Möglicherweise wird iBeacon erst nach einer Testphase in Apple-Manier mit  viel Aufsehen bekannt gemacht.

Videobasierte Systeme sind bereits länger im Einsatz, sie sind aber beim Auseinanderhalten spezifischer Kunden weniger zuverlässig und genau im Vergleich zu MAC-Adressen oder Smartphone-Fingerprint. Außerdem ist die mit ihnen verbundene Technologie zumeist aufwändiger und damit teurer. Zur Bestimmung von Personengruppen werden sie dennoch benutzt. Erst vor Kurzem wurde bekannt, dass der britische Konzern Tesco damit an seinen Tankstellen gezielt Werbung einblenden will – zugeschnitten auf Alter und Geschlecht der Kunden.

Doch es gibt auch Zweifel an der neuen Marketing-Schiene. Nordstrom, eine amerikanische Kaufhauskette, hatte das Tracken der Kundensmartphones nach einigen Monaten im Mai diesen Jahres wieder eingestellt, da es zu Kundenbeschwerden kam nachdem diese das Hinweisschild am Eingang der Läden wahrgenommen hatten. Durch das befürchtete Negativimage ist es auch schwer herauszufinden, welche weiteren Marken und Händler – die vielleicht keine Hinweisschilder dafür angebracht haben – auch den Weg des Kunden durch die Regale verfolgen. Denn die Firmen, die solche Systeme vertreiben, schmücken sich nicht, wie sonst üblich, mit den Namen ihrer Kunden. Auf der “Customers”-Seite von brickstream, einem marktdominierenden Vorreiter auf dem Gebiet der Kundenverhaltensanalyse, findet man den Hinweis, man habe Hunderte von Kunden auf der ganzen Welt und man solle nachfragen, um Beispiele zu erhalten. Auf der Seite von RetailNext finden sich jedoch einige namhafte Beispiele, unter anderem Swatch, American Apparel, Montblanc und Procter&Gamble. Außerdem liefert die Firma interessante Zahlen zu sich selbst:

Über diese Datenquellen sammelt das RetailNext-System über 100 Petabyte Rohdaten über mehr als 500 Millionen Shoppingtrips pro Jahr. Diese Informationen stammen aus 65.000 Sensoren in tausenden Geschäften von über 100 Markenverkäufern in 20 Ländern. Wir verarbeiten diese Datenflut zu Trillionen von Analysemerkmalen, die dann die Messungen, Analysen und direkten Erkenntnisse liefern, für die die Einzelhändler unser System benutzen.

Klingt nicht schön für den Offline-Einkauf. Betrachtet man das Ganze aber einmal aus neutraler Perspektive, ist der Unterschied zwischen einem Tracking-Cookie im Browser und der Verfolgung des Smartphones durch ein Einkaufszentrum nur minimal. Videoerkennungssysteme, die “nur” eine On-the-Fly-Analyse von Alter und Geschlecht vornehmen, sind sogar weitgehend weniger invasiv. Doch die subjektive Wahrnehmung als Eingriff in die Privatsphäre ist wesentlich größer.

Ein deutliches Zeichen, dass es mehr Aufklärung braucht, damit die Analogien zwischen Online- und Offline-Welt endlich im Bewusstsein aller ankommen. Damit am Ende vielleicht doch der ein oder andere Mails verschlüsselt, weil er seine Kontodaten nicht auf eine Postkarte schreiben will.

 

 

 

 

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

October 31 2013

Japan trackt Touristen für besseren Service

Die japanische Nachrichtenagentur Kyodo News hat am 18. Oktober über Pläne der japanischen Tourismusbehörde Japan Tourism Authority berichtet, die Bewegungen von Touristen anhand der Ortsinformationen auf deren Smartphones nachverfolgen zu wollen. Starten soll ein Testlauf nächsten März in acht verschiedenen touristisch geprägten Gebieten, wie dem Mt. Fuji, der im Sommer von 3000 Touristen pro Tag besucht wird.

Die gesammelten Daten werden dann in fünfminütigen Intervallen an ein Unternehmen gesendet, dass sie analysiert und aufbereitet. Damit soll es Reiseagenturen und den Verwaltungsbezirken ermöglicht werden, Touristenströme besser verstehen und darauf mit besserem Service reagieren zu können als das bisher durch konventionelle Befragungen möglich war.

Datenschutzbedenken werden laut dem Bericht abgewiesen, persönliche Informationen wie Name, Adresse und Geschlecht würden ja entfernt. Nicht eindeutig aus der Meldung hervor geht, ob auch die Rufnummerninformationen explizit entfernt werden, denn wie in Deutschland werden SIM-Karten nur personalisiert vergeben, in der Regel benötigt man sogar einen Wohnsitznachweis.

Die Entwicklung der Technologie wird von colopl und KDDI geleitet. Colopl ist im Ausland weitgehend unbekannt, in Japan aber mittlerweile der größte Social Games Provider, mit 3,4 Mrd. Dollar Börsenwert in der letzten Woche weit vor anderen Marktteilnehmern. Hauptgeschäft sind Spiele, die auf Location-Based-Services aufbauen. Laut Eigenbeschreibung verfügen sie über große Ortsdatenmengen und wollen diese nun im Dienst der Gesellschaft Analysen zur Verfügung stellen.

KDDI ist ein japanischer Telekommunikationsanbieter, Muttergesellschaft des Mobilfunkanbieters au – dem zweitgrößten Mobilfunkanbieter Japans.

In einer Mitteilung von Colopl finden sich nähere Informationen zum technischen Ablauf:

Quelle: colopl

Quelle: colopl.co.jp

  1. Nutzer von au-Smartphones stellen ihre Informationen bereit. Ihnen wird zugesichert, dass die Standortdaten, die an Dritte weitergegeben werden, keine persönlichen Informationen mehr enthalten.
  2. Der Betreiber KDDI (au) leitet die Informationen an colopl weiter. Das beinhaltet Positionsinformationen, Zeit und einen Identifikator für das Gerät. Für diesen wird ein Hash aus den Benutzerinformationen gebildet, damit Einzelpersonen nicht identifizierbar sind.
  3. colopl wertet die Daten statistisch aus und stellt sie den Gemeinden zur Verfügung.

Daraus sollen sich dann Aussagen wie die durchschnittliche Verweildauer der Touristen an einem Ort treffen lassen, wie in der folgenden Graphik dargestellt:

Quelle: colopl.co.jp

Quelle: colopl.co.jp

Ob KDDI ein Unternehmen ist, dem man mit seinen Versprechungen zum Schutz der persönlichen Daten vertrauen sollte, ist fraglich. 2010 fiel das Unternehmen bereits negativ auf, als es ein System bewarb, das mittels der Beschleunigungssensoren in Smartphones nicht nur den Standort von Arbeitnehmern, sondern auch die Art von deren Bewegungen analysieren konnte.

Laut KDDIs Entwicklungschef Hiroyuki Yokoyama vor allem praktisch zur Überwachung von Reinigungskräften:

Dadurch, dass diese Technologie zentrale Überwachung mehrerer Arbeiter an unterschiedlichen Orten möglich machen wird, sind Unternehmen vor allem daran interessiert, mit solcher Technologie die Effizienz ihrer Angestellten zu steigern. [...] Wir sind nun an einem Punkt angekommen, an dem wir Managern die Chance geben können, das Verhalten ihrer Angestellten gründlicher zu analysieren.

Japans Datenschutzniveau wird allgemein als nicht besonders hoch angesehen, es gehört daher auch nicht zu den “sicheren Drittstaaten”, in die eine Datenübermittlung ohne weiteres möglich ist. Außerdem fehlt es an öffentlicher Debatte und Problembewusstsein. Überwachung wird als Fürsorge des Staates bzw. der Unternehmen propagiert, wie auch im Fall von KDDI:

Es geht nicht darum, die Rechte der Angestellten auf Privatsphäre zu beschneiden. Wir sehen unsere Entwicklung lieber als ein sorgendes, mütterliches System an, nicht als Big-Brother-Methode, um Bürger zu überwachen.

Unterdessen kann man sich überlegen, was man mit den Touristendaten aus dem geplanten System anfangen könnte.  Zum Beispiel die Standorte der berühmten japanischen Verkaufsautomaten strategisch optimieren…

CC BY 2.0 via Flickr/kalleboo

Getränkeautomat auf dem Gipfel von Mt. Fuji – CC BY 2.0 via Flickr/kalleboo

 

 

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 08 2013

Apple: Patent ermöglicht ferngesteuerte Deaktivierung bestimmter Komponenten eines “drahtlosen Geräts” [UPDATE]

Update: Wie unser Leser Daniel Bröckerhoff in den Kommentaren richtig bemerkt hat, ist Apple das Patent bereits im August 2012(!) erteilt worden.

Handys und besonders moderne Smartphones bieten seinen Nutzern zuvor ungeahnte Möglichkeiten, alltägliche aber auch spezielle Situationen zu dokumentieren. Sei es über Fotos, Videos, Tonaufnahmen oder auch einfach der Speicherung einer aktuellen Position. Wenn es nach Apple geht, ist es mit dieser Freiheit möglicherweise aber bald vorbei. Dem amerikanischen Konzern, welcher den Markt der Smartphones mit seinem iPhone eigentlich erst erschaffen hat, wurde nämlich Mitte August 2012 ein Patent auf eine Technologie zugesprochen, mit dessen Hilfe, die gezielte Deaktivierung bestimmer Funktionen eines Smartphones umgesetzt werden kann, wenn der Nutzer bestimmte Orte betritt.. Das berichtet ZDNet.

Das Patent mit dem Titel “Apparatus and methods for enforcement of policies upon a wireless device”
erlaubt die gezielte Manipulationen bestimmter Funktionen von “drahtlosen Geräten”. Apple sieht den Einsatzgebiet vorrangig im kulturellen Bereich, wie im Kino, auf Konzerten oder in Museen und im akademischen Bereich.

This policy enforcement capability is useful for a variety of reasons, including for example to disable noise and/or light emanating from wireless devices (such as at a movie theater), for preventing wireless devices from communicating with other wireless devices (such as in academic settings), and for forcing certain electronic devices to enter “sleep mode” when entering a sensitive area.


Und:

[...] wireless devices can often annoy, frustrate, and even threaten people in sensitive venues. For example, cell phones with loud ringers frequently disrupt meetings, the presentation of movies, religious ceremonies, weddings, funerals, academic lectures, and test-taking environments.

Ebenso geht aus dem Patentantrag jedoch hervor, dass der Einsatz dieser Technologie auch bei Demonstrationen oder anderen politischen Ereignissen möglich ist, beispielsweise um unliebsame Berichterstattung zu unterbinden.

Covert police or government operations may require complete “blackout” conditions.

Spätestens an diesem Punkt würde der Einsatz der Technologie einer politischen Zensur gleichkommen. ZDNet stellt auch klar, dass Apple die Technologie – wenn überhaupt – nur in die Geräte einbauen würde. Die Nutzung und Umsetzung liege bei Regierungen oder anderen Unternehmen.

It’s clear that although Apple may implement the technology, it would not be Apple’s decision to activate the ‘feature,’ such as a remote-switch — it would be down governments, businesses and network owners to set such policies.

Die Technologie sieht es vor, dass über GPS, Wi-Fi oder das Handynetz bestimmte Bereiche abgesteckt werden können, bei deren betreten bestimmte Richtlinien in den Geräten aktiviert werden, die dementsprechend bestimmte Funktionen, wie die Kamera oder das Mikrofon, deaktivieren. Unklar ist jedoch, wie die Ortung eines Geräts funktioniert, wenn der Nutzer alle drahtlosen Verbindungen manuell deaktiviert hat.

Auch ist bisher keineswegs gewiss, dass Apple diese Technologie überhaupt einsetzen wird. Nur weil ein Patent gewährt wurde, ist die Umsetzung einer Idee nicht gesichert. Besonders im technologischen Bereich werden eine Menge Patente einzig aus dem Grund beantragt, um der Konkurrenz einen Schritt voraus zu sein und sich vermeintliches Know-How zu sichern.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl