Sensordaten erlaubten Tracking von iOS- und Android-Nutzern

Forscher der University of Cambridge haben eine neue Technik namens SensorID entwickelt, mit der es möglich ist, digitale Fingerabdrücke von Nutzern von iOS- und Android-Geräten zu erstellen. Das Fingerprinting wiederum erlaubt es, deren Aktivitäten im Internet zu verfolgen. Die benötigten Daten liefern in Smartphones verbaute Sensoren.

Apps oder Websites können unter Android und iOS ohne Wissen eines Nutzers Daten zur Sensor-Kalibrierung anfordern – spezielle Berechtigungen werden dafür nicht benötigt. Auf iPhones und iPads werden Daten vom Gyroskop und Magnetometer abgefragt. Unter Android kommen noch Kalibrierungsdaten vom Beschleunigungssensor hinzu.

Die Technik basiere auf einer sorgfältigen Analyse dieser Daten, erklärten die Forscher. Unsere Analyse zieht Schlüsse aus den Kalibrierungsdaten, die die Hersteller für jedes Gerät in die Firmware einbetten, um Produktionsfehler in den Sensoren ihrer Geräte auszugleichen.“ Diese Daten lieferten somit ein eindeutiges Merkmal, um Nutzer zu Werbezwecken oder für Analytics im Web zu identifizieren.

Den Forschern zufolge stehen die Daten sogar bei einem Wechsel vom Browser zur App eines anderen Anbieters zur Verfügung. Dass soll es Analytics-Firmen ermöglichen, einen vollständigen Eindruck der Gerätenutzung zu erhalten.

Ein weiterer Vorteil ist offenbar, dass äußere Faktoren wie Temperaturen oder Standort keinen Einfluss auf die Kalibrierungsdaten haben. Selbst nachdem ein Gerät auf die Werkseinstellungen zurückgesetzt wurde soll sich die SensorID nicht ändern. Damit wäre dieser digitale Fingerabdruck der eindeutigen Gerätekennung IMEI gleichzusetzen.

Apple und Google informierten die Forscher im August beziehungsweise Dezember 2018 über das Problem. Apple stellte im März mit iOS 12.2 ein Update zur Verfügung, das den Sensordaten ein zufälliges Rauschen hinzufügt – iPhones und iPads liefern somit bei jeder Abfrage andere Kalibrierungsdaten. Außerdem können Websites über den Browser Safari nicht mehr auf die Kalibrierungsdaten zugreifen. Google soll indes nur mitgeteilt haben, man untersuche den Bericht.

Allerdings ist Apple von dem Problem deutlich stärker betroffen als Android. Vor allem Hersteller günstiger Android-Geräte kalibrieren ihre Sensoren nicht, während Apple dies bei allen iPhones und iPads macht. Android-Geräte im gehobenen Preissegment sind jedoch anfällig. Unter anderem generierten die Forscher erfolgreich Fingerabdrücke für Pixel-2- und Pixel-3-Geräte. Für Nutzer, die ihre iPhones selbst testen wollen, haben die Forscher eine Demo-Website eingerichtet.