Windows Phone 7: Sammelt Microsoft WLAN-Daten?

Während in Deutschland die Widerspruchsfrist für Microsofts neuen Online-Panoramadienst “Bing Maps Streetside” begonnen hat, weckt eine aktuelle Meldung Zweifel am Umgang des Softwarekonzerns mit sensiblen Daten. Wie unsere US-Schwesterpublikation CNET meldet, hat Microsoft die Standorte von Millionen von Laptops, Mobiltelefonen und anderen WLAN-fähigen Geräten weltweit gesammelt.

Datenschützer sind alarmiert: Denn den Recherchen zufolge können die gesammelten WLAN-Daten über Live.com abgerufen werden, ohne dass das Unternehmen dabei ähnliche Datenschutzvorkehrungen trifft wie die Konkurrenz, beispielsweise Google. Nach Angaben von Microsoft ist das Problem inzwischen behoben – nähere Informationen dazu gibt es aber bislang nicht.

Gemeinsam mit Elie Bursztein, Forscher am Stanford Security Laboratory, hat CNET.com untersucht, wie die Oberfläche von Live.com funktioniert. Bursztein hat kürzlich das Application Programming Interface (API) von Microsoft untersucht und wird die ausführlichen Ergebnisse seiner Untersuchung in dieser Woche auf der Sicherheitskonferenz Black Hat in Las Vegas vorstellen.

Microsofts Standort-Datenbank liefert Positionen von WLAN-fähigen Geräten. Quelle: Declan McCullagh, News.com.
Microsofts Standort-Datenbank liefert Positionen von WLAN-fähigen Geräten. Quelle: Declan McCullagh, News.com.

Eine erste Vorstellung davon, wie der Zugriff auf die WLAN-Daten funktioniert hat, präsentiert Bursztein auf seiner Homepage. Weitere Details beschreibt er in einem Blog-Eintrag. In einem Update ist dort auch zu lesen, dass Microsoft am Wochenende in einem Telefonat Bursztein mitgeteilt hat, dass das Problem inzwischen behoben ist. Nähere Details will der Sicherheitsforscher dazu in Kürze veröffentlichen.

Nach seiner Meinung sollte Microsoft Beschränkungen nach dem Vorbild einiger Wettbewerber einführen. “Ich glaube Google macht das intelligent. Das ist eine ziemlich gute Lösung.” Im Gegensatz zu Google und Skyhook Wireless, die über ähnliche Daten verfügen, hat Microsoft keine Maßnahmen ergriffen, um den Zugriff auf seine Datenbank einzuschränken. Google hatte im Juni die Verarbeitung von Standortanfragen seiner Location-Server verändert und so den Zugang zu den Daten begrenzt.

Microsofts Datenbank setzt sich aus Crowdsourcing-Daten zusammen, die über Windows-Phone-Geräte gesammelt werden sowie über Street-View-ähnliche Fahrzeuge, die WLAN-Signale entlang öffentlicher Straßen aufzeichnen. Mit Hilfe dieser Daten will Microsoft den Service für die Nutzer verbessern: So sollen auf Basis des Standorts passende Suchergebnisse und Wetterdaten angezeigt werden.

Der letzte beliebige Aufenthaltsort eines Geräts kann über die jeweilige MAC-Adresse abgerufen werden, die einzigartig ist. Sollte Microsoft dabei nur die Daten der WLAN-Zugangspunkte und nicht einzelner Geräte gespeichert und veröffentlicht haben, wäre das Problem vergleichsweise geringer. Weil aber auch Millionen von Desktops und Smartphones – beispielsweise via Tethering – als Zugangspunkt eingesetzt werden, könnte deren Standort auch in diesem Fall ausspioniert werden.

Tests von ZDNet zeigen, dass Live.com bei der Suche nach WLAN-Adressen von HTC-Geräten auch Standorte außerhalb der Vereinigten Staaten liefert. Die Ergebnisse enthielten Anschriften in Großbritannien, Spanien, Japan und auch der Stadt Köln.

Microsoft hatte sich zuletzt um Transparenz bemüht. Anfang des Monats hatte der Konzern Teile des Quellcodes seines WLAN-Datenloggers veröffentlicht: Dritte sollten so die Möglichkeit bekommen, den Code auf datenschutzrechtliche Auswirkungen zu untersuchen.

Auch in einer Auseinandersetzung mit der bayerischen Datenschutzbehörde hatte sich Microsoft zuletzt dem öffentlichen Druck gebeugt. Seit diesem Montag können Hausbesitzer und Mieter bis zum 30. September Widerspruch gegen die Abbildung ihres Hauses beim Panorama-Dienst Bing Streetside einlegen. Die Aufnahmen werden auf Wunsch verpixelt – Vorbild ist hier Google, das für den Dienst Street View inzwischen einen ähnlichen Service anbietet. Ursprünglich wollte Microsoft erst ab dem Start von Streetside im September Widersprüche annehmen wollen, räumte dann aber die Möglichkeit einer Vorabmeldung ein.