Onlinewerbung birgt immer ein gewisses Datenschutzrisiko. Es ist deshalb tröstlich zu wissen, dass riesige Konzerne wie Pepsi oder Nike einen lediglich als minikleinen Datenpunkt unter Millionen betrachten. Und was hat man denn schon zu verbergen vor Pepsi? Der Getränkekonzern dürfte wirklich kaum Interesse daran haben, welche Geheimnisse man so mit sich herumträgt – als einer von zahllosen Pepsi-Konsumenten.
Achtung, hier kommt der Spoiler: Eine aktuelle Studie zeigt, dass zielgerichtete Werbung einen nicht nur auf einem sehr persönlichen Level trackt, sondern dass es lediglich 1000 Dollar kostet, um das Ganze für die Überwachung zu missbrauchen.
Ein Forscherteam von der University of Washington hat nachgewiesen, wie man auch mit moderaten finanziellen Möglichkeiten Mobilwerbung für die eigenen Zwecke einsetzen kann. Etwa um jemanden zu tracken, Informationen über sein Alter, seinen Aufenthaltsort, installierte Apps und sein Bewegungsprofil zu erhalten. Wie gesagt, 1000 Dollar reichen aus.
„Ganz normale Leute, nicht nur Verkäufer mit rein kommerziellem Interesse oder Werbenetzwerke, können das Ökosystem von Onlinewerbung für ihre Zwecke nutzen, um alle möglichen privaten Informationen über andere Menschen zu erhalten – auch solche, die sie kennen oder deren Nachbarn sie sind“, heißt es in der Untersuchung „Using Ad Targeting for Surveillance on a Budget“. Die Studie wird Ende Oktober in Dallas bei einem Sicherheitsevent der Electronic Society vorgestellt.
Die Gefahr geht nicht von Firmen aus, sondern von Menschen mit ganz eigenen Motiven
Das Forschungsteam hat dabei nicht einmal einen Bug oder ein Schlupfloch im Werbenetzwerk ausgemacht, sondern vielmehr die Motivationen und die finanziellen Ressourcen derjenigen näher betrachtet, die Werbung kaufen. Erkenntnis: Die Features, die ohnehin potenziell zum Tracken geeignet sind, werden dann zum recht kostengünstigen und sehr gezielten Ausspionieren eingesetzt.
„Normalerweise ist es so: Wenn jemand anmahnt, Werber sollten sich mehr um den Schutz von Privatsphäre kümmern, geht es meistens um Konzerne, die zu viel über einen wüssten“, sagt Paul Vines von der University of Washington. „Aber derjenige, der die Information dann wirklich nutzt, ist gar keine große Firma, die Profit machen will und gleichzeitig Angst vor potenziellen Gerichtsverfahren hat. Sondern vielmehr können es Menschen mit ganz eigenen Motiven sein.“
Das Rechercheteam setzte für den Test zehn Moto G Android-Telefone ein, einen Mobil-Werbebanner und eine Website, die als Landingpage diente, falls jemand auf die Werbung klickte. Dann zahlten sie die Mindestsumme von 1000 Dollar, um die Ads auf Plattformen wie Facebook, Google und Co. ausspielen zu lassen. Die ermöglichen es Kunden, genau festzulegen, wo, für wen und in welchen Apps die Werbung erscheinen soll. Welche Demand-Side-Plattform (DSP) das Team dabei verwendet hat, gibt es in seiner Studie nicht an.
Die Forscher nutzten die DSP, um ein Gebiet anzugeben, in dem die Anzeige für Nutzer erscheinen sollte – einen rund fünf Quadratkilometer großen Abschnitt von Seattle. Die Anzeige sollte auf der VoIP- und Chat-App Talkatone geschaltet werden.
Gezielte Ortung ist möglich
Jedes Mal, wenn auf einem Smartphone in dem von den Forschern festgelegten Abschnitt Talkatone geöffnet werden sollte, würde die Werbung auf dem Gerät angezeigt. Dafür bekämen die Forscher pro angezeigter Werbung 2 Cent und – für die Forscher viel wichtiger – eine Bestätigung von der DSP, wo sich der Smartphone-Besitzer in etwa befindet und welches Gerät er benutzt. Mit dieser Methode konnten die Forscher die Standorte ihrer Test-Smartphones innerhalb einer Reichweite von rund sieben Metern genau orten. Vorausgesetzt, die App blieb rund vier Minuten lang geöffnet oder wurde während dieser Zeitspanne zweimal gestartet. Das Team hatte lediglich eine sechsminütige Verzögerung bei der Echtzeit-Berichterstattung des Werbenetzwerkes, was den Standort anbelangte. Von einer Testperson, die das Smartphone sieben Tage lang nutzte, konnten die Forscher so problemlos herausfinden, wo sich deren Wohn- und Arbeitsstelle befand.
Das ist keine besonders hohe Hürde für jemanden, der einen gezielten Angriff plant
Die Forscher bemerken in ihrer Studie, dass das Ausspionieren von der DSP zu keiner Zeit als ungewöhnliches Verhalten wahrgenommen worden oder ihr Nutzerkonto durch den Versuch ihrer gezielten Überwachung gesperrt worden sei.
Die Tracking-Methode hat dennoch zwei Einschränkungen. Das Ziel müsste eine bestimmte App zum Zeitpunkt der Verfolgung auf dem Smartphone geöffnet haben, damit die Werbung erscheinen kann. Gleichzeitig müsste derjenige, der den Smartphone-Besitzer mit Hilfe von Ads ausspionieren will, die eindeutige Kennung des Zieltelefons kennen, die als Mobile Advertising ID oder MAID bezeichnet wird.
Die Möglichkeiten zum Ausspionieren sind beinahe grenzenlos
Um die erste Einschränkung zu umgehen, könnte der Spion Anzeigen für verschiedene beliebte Apps kaufen, in der Hoffnung, dass eine Anwendung dabei ist, die die Zielperson auf dem Smartphone installiert hat und häufig nutzt. Bei der zweiten Einschränkung gibt es laut der Forscher mehrere Möglichkeiten, um an die richtige MAID zu gelangen, einschließlich der Platzierung von Active-Content-Werbung, die Javascript verwendet. Damit lässt sich die MAID einem bestimmten Ort zuweisen. Die MAID kann dann mit einer normalen Anzeige weiter verfolgt werden. Eine einfachere Möglichkeit ist die, die MAID in einem WLAN-Netzwerk abzufangen, der sich mit seinem Smartphone im gleichen Netzwerk befindet, wie der Spion.
„Das ist keine besonders hohe Hürde für jemanden, der einen gezielten Angriff plant“ sagt Adam Lee, Professor an der University of Pittsburgh, der die Studie überprüft hat.
Ein Ehemann könnte zum Beispiel seine Frau ausspionieren, indem er im gemeinsamen WLAN die MAID ihres Smartphones abgreift und Werbung in den Apps platziert, die sie häufig nutzt. Ebenso könnte ein Angreifer in einem Café die MAID seines Tischnachbarn herausfinden, wenn sich beide im gleichen Netzwerk befinden. Die Möglichkeiten scheinen grenzenlos.
Auch ohne die MAID ist es möglich, Personen auszuspionieren. Die Forscher sagen, dass sie dazu in der Lage waren, die Anzahl von Personen, die Dating-Apps oder Apps mit religiösem Hintergrund nutzten, an einem bestimmten Zielort zu zählen, ohne eindeutige Identifikatoren zu kennen.
Es gebe keine einfache Lösung, um solch eine gezielte Überwachung zu unterbinden, sagen die Forscher, ohne die Tracking-Fähigkeiten der Werbenetzwerke generell zu verringern. Sie hoffen dennoch, dass ihre Ergebnisse zumindest darauf aufmerksam machen, welches Überwachungspotenzial die Werbenetzwerke haben, jenseits von der Vorstellung, dass irgendwelche großen Unternehmen die Daten für ihre Zwecke nutzen.
DSPs könnten zumindest versuchen, Werbung zu erkennen und zu blockieren, die auf eine individuelle Ebene oder für einen bestimmten Nutzer bezogen zu sein scheint. Mehr Werbenetzwerke sollten MAIDs verschlüsselt übertragen, um sie sicherer vor unbefugtem Zugriff zu machen.
In der Zwischenzeit sollten Smartphone-Nutzer überlegen, welche werbeunterstützten Apps sie verwenden, wann sie diese verwenden und was sie verraten könnten. Es kann sich auch lohnen, Premium-Versionen von Anwendungen zu kaufen, damit die Werbung ausgeblendet wird.
Dieser Artikel erschien zuerst auf WIRED.com.
