Google lekt je locatie
Google begaat opnieuw een privacyflater van formaat. Wie het MAC-adres van je smartphone of ander toestel weet, kan zomaar je locatie opvragen.
Het is niet bij iedereen mogelijk, maar wie zijn wifisignaal heeft aanstaan, loopt het risico dat zijn laptop of smartphone kan worden getraceerd. Het probleem beperkt zich niet enkel tot Android (al lijkt ons daar de kans iets groter), ook iPhones en andere toestellen lopen het risico.
MAC-adres
Maar hoe gebeurt dit in praktijk? Elk internettoestel heeft een MAC-adres, een uniek identificatienummer voor hardware. Bij een internetverbinding wordt dit adres doorgegeven. Zo kan je eventueel het MAC-adres van toestellen in je buurt ontdekken als ze wifi aan hebben staan.
[related_article id=”158578″]
Het eerste probleem is dat Google, bij het gebruik van Google Maps, dat adres linkt aan de locatie van het wifinetwerk dat je gebruikt. Dat gebeurt onder meer om je locatie makkelijker te bepalen bij locatiegebaseerde diensten, zoals Maps. Ook Apple, Microsoft en Skyhook Wireless (een leverancier van locatiesystemen) passen dit toe.
Vrij opvraagbaar
Het tweede probleem is dat die gegevens, de locatie waar je MAC-adres werd opgemerkt, vrij toegankelijk zijn bij Google en Skyhook. Wie het MAC-adres van een toestel heeft, kan dus nagaan waar dat toestel – en dus in de meeste gevallen ook zijn eigenaar – heeft uitgehangen.
Beveiligingsonderzoeker Ashkan Soltani goot die publieke database in een toepassing, waarin je het MAC-adres kan ingeven en vervolgens de bewaarde locatie(s) op een kaart ziet.
Wel moeten we nuanceren dat niet van elke telefoon die gebruikmaakt van Google Maps informatie beschikbaar is. Onze Amerikaanse collega’s van CNet hebben samen met Soltani getest en kwamen tot de conclusie dat ongeveer tien procent van alle laptops en smartphones met wifi bij Google worden opgesomd met hun adres. Bij toestellen die Skyhook gebruiken is dit ongeveer vijf procent.
Een snelle test met drie Androidtelefoons op onze redactie leverde geen locatiegegevens op.
Op zich is het niet mogelijk om iemand live en tot op de meter te traceren. Maar iemand van slechte wil kan wel achterhalen waar je woont of hebt gewoond met een precisie van zo’n vijftig meter.
Google reageert
Tegenover CNet wil Google niet zeggen of Androidsmartphones of de wagens met Google Street View MAC-adressen hebben verzameld. Skyhook Wireless zegt dat het alleen adressen van accesspoints heeft verzameld.
In een meer algemene reactie zegt Google dat het openbare MAC-adressen en wifitoegangspunten verzamelt. Voor smartphones gaat het hier om toestellen die tethering gebruiken.
Wel zegt het dat het geen locatiegegevens van mobiele toestellen wil bijhouden omdat die door hun verplaatsing irrelevant zijn voor plaatsbepaling. Al lijkt dat niet bijhouden in dit geval bijzonder moeilijk voor de zoekgigant.
Dat je met wat technische kennis locaties kunt opvragen met enkel het MAC-adres kan overigens te maken hebben met de toegang die Google geeft aan applicatieontwikkelaars, bijvoorbeeld via een API (programmeerinterface). Al blijft het beangstigend dat dit in principe door iedereen te gebruiken is, zonder dat gebruikers ervan op de hoogte worden gebracht.