Mike Kuketz
2. Oktober 2018 | 10:24 Uhr

Android: Google erfährt Identität und Standort bei aktivem GPS

Von einem Leser erhielt ich folgende E-Mail:

Mein Galaxy S5 will penetrant supl.google.com kontaktieren. Eine
kurze Metager-Suche führt zu folgendem spannenden Blog-Beitrag:

Zwar vier Jahre alt, aber vermutlich nicht weniger aktuell: How SUPL Reveals My Identity And Location To Google When I Use GPS.

Hinweis: Es handelt sich um das Samsung Stock-ROM Version MMB29K.G903FXXU1BPF1 (Android 6.0.1).

Zunächst einmal ist es wenig überraschend, dass Google solche Informationen sammelt – darauf basiert Googles Geschäftsmodell. Bei aktivem GPS weiß Google immer genau wo ihr seid und verknüpft diese Informationen unter anderem mit der eindeutigen IMSI-Nummer.

Kommen wir nun zum interessanten Teil des verlinkten Blog-Beitrags:

When The Baseband Makes The Query

And now to the really scary part: The next thing I tried was if I could reproduce this behavior with other Android devices at hand. To my surprise the two I had handy would not send a SUPL request over Wi-Fi and also not over the cellular network (which I traced with tcpdump on the device). After some more digging I found out that some cellular radio chips that include a GPS receiver seem to perform the requests themselves over an established cellular IP connection. That means that there is NO WAY to trace the request and ascertain if it contains personal information or not. This is because the request completely bypasses the operating system of the device if it is made directly by the radio chip. At this point in time I have no evidence that the two devices from which I did not see SUPL requests actually use such a baseband chip A-GPS implementation and if there are personal indentifiers in the message or not. However, I’m determined to find out.

Ich weiß nicht ob der Autor identifizieren konnte, ob der SUPL-Request über das Baseband gesendet wird – sozusagen vollkommen »versteckt« für den Nutzer. Allerdings zeigt dieser Vorfall erneut, wie dringend notwendig freie und quelloffene Hardware (anfangen beim Baseband bis zum letzten Chip) ist.

In jedem Fall werde ich den Autor mal kontaktieren, denn nach meinem Verständnis ließe sich der Netzwerkverkehr des Basebands bzw. Radio-Chips mit dem HackRF One mitschneiden und auswerten – so ein Spielzeug muss ich mir mal dringend zulegen.

Hilf mit die Spendenziele zu erreichen! Mitmachen ➡
Ähnliche Beiträge
Microblog
4. Oktober 2018

Android: IMSI-Leaking bei GPS-Positionsbestimmung

Nach dem Beitrag »Android: Google erfährt Identität und Standort bei aktivem GPS« waren viele Fragen offen und einige Leser verunsichert.…
CalyxOS
10. Februar 2023

CalyxOS: De-Googled geht anders – Custom-ROMs Teil2

Die Analyse des Datensendeverhaltens zeigt: CalyxOS ist leider nicht so de-googled, wie man vermuten würde.
Android-Einstellungen
4. September 2019

Android-Systemeinstellungen & Google-Fallstricke – Take back control! Teil8

Mit den richtigen (System-)Einstellungen lässt sich sowohl die Sicherheit, als auch Privatsphäre auf Android verbessern - No more Google!
GrapheneOS
17. November 2020

GrapheneOS: Das Android für Sicherheits- und Datenschutzfreaks

Wer bereit ist, die »bittere Pille« zu schlucken und in ein Google-Pixel-Gerät zu investieren, der erhält mit GrapheneOS das wohl sicherste Android.
South Korea Corona
30. August 2021

Das in der Corona-Pandemie viel zitierte Beispiel Südkorea – eine Datenschutz-Analyse

Eine Datenschutz-Analyse: Wer wird nach der Pandemie auf die äußerst sensiblen Gesundheitsdaten in Südkorea aufpassen, die im Zuge der Pandemiebekämpfung angehäuft wurden?
Wissenswertes

Immer aktuell

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:


Bleib aktuell ➡

Weitersagen

Wenn dir der Beitrag gefallen hat, dann teile ihn mit deinen Freunden, Bekannten und Mitmenschen. Nutze dafür soziale Medien (datenschutzfreundlich via Mastodon), Foren, Messenger, E-Mails oder einfach die nächste Feier / Veranstaltung.