Abo
  • IT-Karriere:

Privatsphäre: Verschleiern der MAC-Adresse bei WLAN ist fast nutzlos

Die eigene MAC-Adresse beim WLAN zu verschleiern, gilt als eine der zentralen Funktionen zum Schutz der Privatsphäre. Auf mobilen Geräten ist dieser Schutz weitgehend nutzlos.

Artikel veröffentlicht am ,
Die WLAN-MAC-Adresse wird auf den meisten mobilen Geräten freizügig preisgegeben.
Die WLAN-MAC-Adresse wird auf den meisten mobilen Geräten freizügig preisgegeben. (Bild: Martin Wolf/Golem.de)

Über die MAC-Adresse eines WLAN-Moduls lässt sich ein Gerät eindeutig identifizieren. Um für mehr Schutz der Privatsphäre zu sorgen, wurde in Android ab Version 6.0 und in Apples iOS ab Version 8 zumindest beim Ermitteln von WLAN-Zugangspunkten eine Randomisierung eingeführt, die die eigentliche MAC-Adresse verschleiern soll. Erst wenn sich ein mobiles Gerät mit einem Access Point verbindet, wird die echte MAC-Adresse übermittelt, so zumindest die Theorie. Das Verschleiern wird aber nicht nur unzureichend umgesetzt, sondern lässt sich auch durch Schlupflöcher aushebeln. Das haben Forscher der Marine-Akademie in den USA ermittelt.

Inhalt:
  1. Privatsphäre: Verschleiern der MAC-Adresse bei WLAN ist fast nutzlos
  2. Randomisierung umgangen

Auf der Suche nach Access Points in der Umgebung funken mobile Geräte bei aktiviertem WLAN unentwegt auch die MAC-Adresse des WLAN-Moduls. So lässt sich zumindest ein Bewegungsprofil einzelner Nutzer erstellen. Ein mögliches Szenario: Solche MAC-Adressdaten werden in Kaufhäusern erhoben; wenn das gleiche Gerät in einer anderen Filiale der Kaufhauskette auftaucht, könnten Nutzer gezielt verfolgt werden. Loggt sich ein Anwender dann auch noch bei einem Access Point samt eigenem Namen ein, entstehen wertvolle Daten. Werden diese Informationen von Dritten mit anderen MAC-Adressdaten abgeglichen, etwa aus öffentlichen Verkehrsmitteln, könnten Nutzer fast lückenlos verfolgt werden.

Zuerst der Zufall

Um dem entgegenzuwirken, haben Hersteller mobiler Betriebssysteme damit begonnen, Funktionen einzubauen, die zunächst die eigentliche MAC-Adresse mit Zufallszahlen ersetzen sollen. Öffentliche Access Points verlangen aber die eindeutige MAC-Adresse, etwa um eine zeitliche Begrenzung für einzelne Geräte umzusetzen oder ein mehrmaliges Einloggen zu verhindern. In der Theorie soll die eigentliche MAC-Adresse daher nur dann übermittelt werden, wenn sich ein Gerät tatsächlich bei einem WLAN-Zugang einloggt. Bei Android wurde die Funktion ab Version 6.0 bereitgestellt.

Zur Erinnerung: Die ersten drei Bytes der MAC-Adressen können aus einem Organizationally Unique Identifiers (OUI) bestehen, der die Hardware einem Hersteller zuordnet. Solche OUIs können beim Institute of Electrical and Electronics Engineers (IEEE) erworben werden. Die verbleibenden drei Bytes werden dann vom Hersteller mit beliebigen Zahlen aufgefüllt. Die sechs Bytes ergeben zusammen dann eine für jede Hardware eindeutige 48-Bit-MAC-Adresse, die auf Schicht 2 des OSI-Modells übertragen wird. Das IEEE bietet auch private OUIs an, die nicht mit einem Hersteller in Verbindung stehen und so zur Verschleierung einer MAC-Adresse beitragen können. Solche privaten OUIs werden aber von keinem der großen Hersteller verwendet, monieren die Forscher. Alternativ bietet das IEEE sogenannte Company Identifier (CID) an. CIDs können aber nicht verwendet werden, um eindeutige MAC-Adressen zu generieren und eignen sich daher ebenfalls zur Verschleierung. Sie werden von einigen Herstellern bei Abfragen eingesetzt.

Kaum verschleiert

Stellenmarkt
  1. Lidl Dienstleistung GmbH & Co. KG, Neckarsulm
  2. BWI GmbH, Ulm

Die "überwältigende Mehrheit" der von den Forschern getesteten Android-Geräte verzichtet komplett auf eine Verschleierung der MAC-Adresse. Warum das so ist, darüber können die Forscher nur spekulieren. Ein Grund könnten Inkompatibilitäten zwischen der WLAN-Hardware und der Firmware sein. Denn sowohl Betriebssystem als auch Treiber müssen diese Funktionen unterstützen. So sind zumindest fast alle Geräte eindeutig identifizierbar. Wer manuell seine MAC-Adresse verschleiern will, muss sein Gerät rooten, was aber die Sicherheit des Geräts ebenfalls aushebeln kann.

Apple hat die Randomisierung der kompletten MAC-Adresse bereits in iOS 8 umgesetzt. Interessanterweise nutzt Apple auch CIDs fremder Hersteller. Allerdings fügt iOS seit Version 10 den WLAN-Pakten ein eindeutiges Information Element (IE) hinzu. Damit ließen sich trotz Verschleierung iOS-10-Geräte wieder identifizieren, schreiben die Forscher.

Randomisierung umgangen 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

mnementh 16. Mär 2017

"Auf der Suche nach Access Points in der Umgebung funken mobile Geräte bei aktiviertem...

Spaghetticode 16. Mär 2017

Ich habe keine Ahnung, warum bei den 08/15-WLANs technisch notwendig sein soll, dass das...

afrika_boy20 16. Mär 2017

nicht nur Service Set ID ist nutzlos, WLAN Managementpakete sind unverschlüsselt und...

amagol 15. Mär 2017

Ich bin mir jetzt nicht ganz sicher warum die Mac-Adresse jetzt so geheim sein soll. Klar...

xSynth 15. Mär 2017

Lt. Beitrag klingt das nach einem automatisierten Verfahren. Für Android 6 gibt es das...


Folgen Sie uns
       


Möve Franklin E-Fly Komfort Pedelec - Test

Ein Pedelec, zwei Technologien: geht das gut?

Möve Franklin E-Fly Komfort Pedelec - Test Video aufrufen
Dick Pics: Penis oder kein Penis?
Dick Pics
Penis oder kein Penis?

Eine Studentin arbeitet an einer Software, die automatisch Bilder von Penissen aus Direktnachrichten filtert. Wer mithelfen will, kann ihr Testobjekte schicken.
Ein Bericht von Fabian A. Scherschel

  1. Medienbericht US-Regierung will soziale Netzwerke stärker überwachen
  2. Soziales Netzwerk Openbook heißt jetzt Okuna
  3. EU-Wahl Spitzenkandidat Manfred Weber für Klarnamenpflicht im Netz

Garmin Fenix 6 im Test: Laufzeitmonster mit Sonne im Herzen
Garmin Fenix 6 im Test
Laufzeitmonster mit Sonne im Herzen

Bis zu 24 Tage Akkulaufzeit, im Spezialmodus sogar bis zu 120 Tage: Garmin setzt bei seiner Sport- und Smartwatchserie Fenix 6 konsequent auf Akku-Ausdauer. Beim Ausprobieren haben uns neben einem System zur Stromgewinnung auch neue Energiesparoptionen interessiert.
Ein Test von Peter Steinlechner

  1. Fenix 6 Garmins Premium-Wearable hat ein Pairing-Problem
  2. Wearable Garmin Fenix 6 bekommt Solarstrom

Elektrautos auf der IAA: Die Gezeigtwagen-Messe
Elektrautos auf der IAA
Die Gezeigtwagen-Messe

IAA 2019 Viele klassische Hersteller fehlen bei der IAA oder zeigen Autos, die man längst gesehen hat. Bei den Elektroautos bekommen alltagstaugliche Modelle wie VW ID.3, Opel Corsa E und Honda E viel Aufmerksamkeit.
Ein Bericht von Dirk Kunde

  1. Umfrage Kunden fühlen sich vor Elektroautokauf schlecht beraten
  2. Batterieprobleme Auslieferung des e.Go verzögert sich
  3. ID Charger VW bringt günstige Wallbox auf den Markt

    •  /