1 Punkte von GN⁺ 2024-10-25 | 1 Kommentare | Auf WhatsApp teilen
  • Die Klage nach Daniel’s Law in New Jersey zeigt, dass Werbedaten aus Apps und Websites in kommerziellen Diensten gebündelt werden, sodass auch private Kunden individuelle Bewegungsverfolgung nutzen können, die früher als Überwachung auf Staatsniveau galt
  • LocateX von Babel Street zeigt mit einigen Tagen Verzögerung die Bewegungsverläufe mobiler Geräte, die einen auf der Karte als Polygon markierten Ort betreten oder verlassen haben, und kann einzelne Geräte über die MAID verfolgen
  • Ein von Atlas Data Privacy beauftragter Ermittler konnte allein mit einem zweiwöchigen kostenlosen Testzugang die Standorte sensibler Ziele nachverfolgen, darunter Polizeibeamte in New Jersey, potenzielle Geschworene bei Gericht sowie Besucher und Mitarbeiter von Abtreibungskliniken
  • Standortdaten verbreiten sich über App-Berechtigungen, Ad-Bid-Requests und Real-Time-Bidding-Netzwerke; Atlas geht davon aus, dass sich für 10.000 bis 50.000 US-Dollar pro Jahr Zugang zu Milliarden bis Dutzenden Milliarden Datenpunkten kaufen lässt
  • Sowohl Android als auch iOS erlauben Einschränkungen für Werbe-IDs und Standortberechtigungen, doch wenn Geräte von Familienmitgliedern oder Kollegen verfolgt werden, lässt sich auch der Standort nahestehender Personen ableiten

Die Klage nach Daniel’s Law und Babel Street LocateX

  • Atlas Data Privacy Corp. mit Sitz in Delaware ist ein Unternehmen, das dabei hilft, personenbezogene Daten bei Verbraucher-Datenhändlern und Online-Personensuchdiensten löschen zu lassen
  • Atlas erhob 2024 im Namen einer Kundengruppe, zu der mehr als 20.000 Strafverfolgungsbeamte in New Jersey gehören, Klage gegen 151 Verbraucher-Datenbroker
  • Streitpunkt ist, ob die Datenbroker wiederholt gegen Daniel’s Law verstoßen haben
    • Daniel’s Law ist ein Gesetz in New Jersey, das Strafverfolgungs- und Regierungsmitarbeitern, Richtern und deren Familien erlaubt, ihre Informationen bei kommerziellen Datenbrokern vollständig löschen zu lassen
    • Das Gesetz wurde 2020 verabschiedet, nachdem bei einem Angriff auf einen Bundesrichter dessen Sohn Daniel Anderl getötet wurde
  • Atlas reichte vergangene Woche auf Grundlage von Daniel’s Law Klage gegen das in Reston, Virginia, ansässige Technologieunternehmen Babel Street ein
  • Das Kernprodukt von Babel Street ermöglicht es, auf einer Weltkarte um nahezu jeden Ort ein digitales Polygon zu ziehen und dann zeitlich aufgeschlüsselte, um einige Tage verzögerte Datensätze mobiler Geräte anzuzeigen, die dieses Gebiet betreten oder verlassen haben

Wie LocateX verfolgt

  • LocateX von Babel Street kann einzelne mobile Nutzer über die Mobile Advertising ID (MAID) verfolgen, eine eindeutige alphanumerische Kennung, die in Google-Android- und Apple-Geräte integriert ist
  • Diese Funktion nutzt Standortdaten und Identifikationsinformationen, die von zahlreichen Websites und Apps gesammelt werden
    • Diese Informationen können an Dutzende bis Hunderte Werbenetzwerke gesendet werden, die einem bestimmten Nutzer Werbung anzeigen wollen
  • Ein von Atlas beauftragter Privatdetektiv erhielt ein Angebot für einen kostenlosen Babel-Street-Testzugang und konnte damit nach eigenen Angaben die Wohnadresse und Alltagsbewegungen der Familie eines Polizeibeamten in New Jersey nachvollziehen, die bereits Belästigungen und Morddrohungen erhalten hatte
  • Der Ermittler stellte fest, dass Babel Street Personensuchdienste in die Plattform integriert anbietet, sodass Kunden bestimmte Geräte leichter eingrenzen können
  • Ein Vertriebsmitarbeiter von Babel Street sagte laut Atlas, der Dienst werde nur Regierungen oder „Regierungsauftragnehmern“ angeboten; als der Ermittler erklärte, er prüfe künftig Regierungsaufträge, habe der Mitarbeiter geantwortet, „das reicht“, und hinzugefügt, man überprüfe das nicht wirklich

Beispiele, die zu Überwachung ohne richterlichen Beschluss führen können

  • Laut Atlas konnte der Ermittler während des Babel-Street-Testzeitraums Informationen über Besucher von Hochrisikoorten wie Moscheen, Synagogen, Gerichten und Abtreibungskliniken finden
  • Ein Video zeigt, wie mobile Geräte auf einem nur für Geschworene vorgesehenen Parkplatz eines Gerichts in New Jersey isoliert wurden und anschließend das Telefon einer mutmaßlichen Geschworenenperson über mehrere Tage bis zur Wohnadresse verfolgt wurde
  • Mit LocateX kann man um die Wohnadresse oder den Arbeitsplatz einer Zielperson ein digitales Polygon ziehen und dann nur die Geräte herausfiltern, die diese Adresse täglich passieren
  • Eine der besonderen Funktionen von Babel Street, der night mode, erleichtert es, den Ort, an dem sich ein Ziel nachts aufhält, auf wenige Meter genau zu bestimmen
  • In den LocateX-Nutzungsbedingungen steht, dass das Produkt nicht als Grundlage für Haftbefehle, Vorladungen oder andere rechtliche oder administrative Maßnahmen in irgendeinem Land verwendet werden darf
  • Der Polizeibeamte Scott Maloney aus Rahway, New Jersey, sagte, für die Verfolgung einer Person in einer strafrechtlichen Ermittlung sei ein richterlicher Beschluss nötig, und es sei äußerst verstörend, dass Datenbroker ohne Zustimmung Informationen über seine Familie nachverfolgen und verkaufen

Der Fall des Ehepaars Maloney und Standortdaten aus Apps

  • Die Atlas-Kläger Scott Maloney und Justyna Maloney sind Polizeibeamte in Rahway, New Jersey, und leben mit ihren zwei Kindern zusammen
  • Nachdem Justyna im April 2023 auf eine allgemeine Meldung über einen Mann reagiert hatte, der außerhalb der Motor Vehicle Commission Menschen filmte, verbreitete sich selektiv bearbeitetes Videomaterial, woraufhin die Wohnadresse und nicht öffentliche Telefonnummer des Ehepaars online veröffentlicht wurden
  • Danach erhielt das Paar laut Klage Geldforderungen, Morddrohungen mit der Aussage, man werde „mit Blut bezahlen“, sowie Videos mit Waffendrohungen, in denen davon die Rede war, den Familienmitgliedern die Köpfe abzuschneiden
  • Einige Wochen später meldete ein Nachbar verdächtige maskierte Personen, die in der Nähe des Hauses parkten; Aufnahmen einer Überwachungskamera in der Umgebung zeigten, wie sie um das Haus der Maloneys kreisten
    • Eingesetzte Beamte nahmen zwei bewaffnete Männer wegen des Vorwurfs des illegalen Waffenbesitzes fest
  • Der Atlas-Ermittler konnte Scotts iPhone bei Babel Street nicht eindeutig finden, wohl aber das von Justyna
    • Bei Babel Street gab es über mehrere Monate hinweg fast 100.000 Treffer zu Justynas Telefon, wodurch sich Alltagsbewegungen und Begegnungen mit anderen Personen rekonstruieren ließen
  • Die einzige App auf Justynas iPhone, die Standortdaten nutzte, war die App des Kaufhauses Macy’s
  • Macy’s erklärte, die App biete eine Opt-in-Funktion für ein standortbasiert verbessertes Einkaufserlebnis; man speichere keine Kundenstandorte und teile Standortdaten nur mit einer begrenzten Zahl von Partnern, habe aber keine Beziehung zu Babel Street
  • Selbst wenn das Gerät einer bestimmten Person nicht direkt identifiziert wird, lässt sich der Standort anderer Personen leicht ableiten, wenn Geräte von Familienmitgliedern identifiziert werden

Ad-Bid-Daten und das MAID-Ökosystem

  • Die MAID wurde ursprünglich als eindeutige Kennung konzipiert, um mobile Kunden ohne personenbezogene Identifikatoren wie Telefonnummern oder E-Mail-Adressen zu unterscheiden
  • Inzwischen gibt es eine Industrie aus Marketing- und Werbeunternehmen, die große Listen erstellt, in denen MAIDs mit historischen und personenbezogenen Informationen „angereichert“ werden
  • Der Atlas-Ermittler prüfte, ob sich angereicherte MAID-Datensätze von Strafverfolgungskunden aus New Jersey finden lassen, und fand nach eigenen Angaben zahlreiche Werbedatenbroker, die solche Daten verkaufen wollten
    • Einige Anbieter lieferten nur begrenzte Felder wie Name, MAID und E-Mail-Adresse
    • Andere Broker verkauften detailliertere Datensätze mit Social-Media-Profilen, präzisen GPS-Koordinaten und sogar geschätzten Verbraucherkategorien
  • Zu den Quellen von MAID-Daten können Apps wie AccuWeather, GasBuddy, Grindr und MyFitnessPal gehören; diese Apps können MAID und Standort erfassen und an Broker verkaufen
  • Schon der Besuch einer Webseite mit Werbung auf dem Smartphone kann dazu führen, dass MAID-Profile und Standortdaten geteilt werden
    • Bevor die Werbung geladen wird, sendet die Website für wenige Millisekunden einen Bid Request an eine Anzeigenbörse, der den genauen Standort des Nutzers enthalten kann
    • Der derzeitige öffentliche Standard ist in OpenRTB festgehalten
  • Das zentrale Risiko besteht darin, dass Bidstream-Daten weltweit gleichzeitig im Klartext an Hunderte Akteure gesendet werden und damit faktisch für nahezu jeden zugänglich sind

Deutscher Datensatz und Forschung zu SEC-Besuchern

  • Das deutsche Medium netzpolitik.org kaufte Anfang 2024 einen Bidstream-Datensatz mit mehr als 3,6 Milliarden Datenpunkten und teilte ihn mit BR24
  • Beide Medien kamen zu dem Schluss, dass sich schon mit den aus einem kostenlosen Test erhaltenen Daten Bewegungsprofile von Millionen Menschen in ganz Deutschland erstellen ließen
  • Eine von Politico behandelte Studie zeigte mithilfe mobiler Werbedaten, die Forscher von Universitäten in New Hampshire, Kentucky und St. Louis beschafft hatten, dass sich Besuche von Ermittlern der SEC mit Aktienverkäufen durch Insider vor Offenlegung der Ermittlungen in Verbindung bringen lassen
  • Die Forscher verfolgten auf diese Weise zwar keine Regulierer anderer Behörden, erklärten aber, das könne faktisch jeder tun
  • Justin Sherman vom Georgetown Law Center for Privacy and Technology bewertete dies als Beispiel für die Folgen davon, wenn Unternehmen die Standortdaten von US-Bürgern frei abschöpfen und zu beliebigen Preisen verkaufen können

Sorgen um Standortverfolgung im Zusammenhang mit Abtreibungen

  • Die Entscheidung Dobbs des US Supreme Court aus dem Jahr 2022 hob das bundesweite Recht auf Abtreibung auf; seither haben 14 Bundesstaaten strikte Abtreibungsverbote eingeführt
  • Im Mai 2023 berichtete The Wall Street Journal, dass eine Anti-Abtreibungsgruppe in Wisconsin präzise Standortdaten genutzt habe, um Werbung an Frauen zu senden, bei denen man vermutete, dass sie eine Abtreibung suchten
  • Derzeit gibt es kaum Schutzmechanismen dagegen, dass Anti-Abtreibungsgruppen Bidstream-Daten kaufen oder sich Zugang zu Plattformen wie Babel Street leihen, um Abtreibungskliniken per Geofencing zu markieren und mobile Geräte offenzulegen, die diese Orte aufsuchen
  • Der Atlas-Ermittler erklärte, er habe eine Abtreibungsklinik geofenced, eine mutmaßliche Mitarbeiterin identifiziert und anschließend deren Wohnadresse sowie täglichen Pendelweg verfolgen können
  • Außerdem habe er mit Babel Street eine Person identifiziert und verfolgt, die von ihrem Zuhause in Alabama zu einer Klinik im legalen Abtreibungsstandort Tallahassee, Florida, gereist und einige Stunden später zurückgekehrt sei
  • Eva Galperin von der EFF sagte, sie sei zutiefst besorgt über breit angelegte Überwachung, die auf Menschen ziele, die für eine Abtreibung Staatsgrenzen überschreiten

Unterschiede zwischen Android und iPhone

  • Atlas geht davon aus, dass Broker in der Regel für 10.000 bis 50.000 US-Dollar pro Jahr Zugang zu Dutzenden Milliarden Datenpunkten anbieten können, die Bevölkerungen in den USA und vielen anderen Weltregionen abdecken
  • In den von Atlas beschafften Datensätzen waren viele ältere MAID-Einträge enthalten; darauf basierend schätzt man, dass sich etwa 80 % der Android-Geräte und rund 25 % der Apple-Handys lokalisieren lassen
  • Google nennt die MAID Android Advertising ID (AAID), Apple nennt sie Identifier for Advertisers (IDFA)
  • Apple führte im April 2021 mit iOS 14.5 die App Tracking Transparency (ATT) ein, die Apps verpflichtet, vor der Verfolgung von Nutzern über die IDFA oder andere Kennungen eine ausdrückliche Zustimmung einzuholen
  • Die Einführung von ATT hatte große Auswirkungen auf den Werbemarkt; Facebook erklärte, diese iPhone-Privatsphäre-Funktion werde 2022 voraussichtlich rund 10 Milliarden US-Dollar Umsatz kosten
  • Laut Schätzung des US-Justizministeriums kontrolliert Googles Anzeigenbörse AdX 47 % des US-Markts und 56 % des weltweiten Markts
  • Android hält weltweit mehr als 72 % Marktanteil bei mobilen Betriebssystemen, während in den USA iPhone-Nutzer etwa 55 % ausmachen

Die Positionen von Google und Apple

  • Google erklärte, keine Echtzeit-Gebotsanfragen an Babel Street zu senden und in Gebotsanfragen keine präzisen Standortdaten zu teilen
  • Laut Google verbieten die Richtlinien ausdrücklich den Verkauf von Real-Time-Bidding-Daten oder deren Nutzung zu anderen Zwecken als Werbung
  • Google erklärte, die MAID werde zufällig generiert und enthalte weder IP-Adressen noch GPS-Koordinaten oder andere Standortdaten; das Werbesystem teile keine präzisen Standortdaten irgendeiner Person
  • Android bietet Steuerungsmöglichkeiten, um den Standortzugriff von Apps zu verwalten und die Werbe-ID zurückzusetzen oder zu löschen
  • Apple erklärte, Location Services seien auf Geräten standardmäßig nicht aktiviert; Standortdaten würden nur genutzt, wenn Nutzer die Ortungsdienste einschalten und einzelnen Apps oder Websites Berechtigungen erteilen
  • Apple-Nutzer können Ortungsdienste jederzeit abschalten und den Standortzugriff pro App ändern
    • Zu den Optionen gehören präziser Standort, ungefährer Standort und einmaliger Standortzugriff
  • Zach Edwards von SilentPush sagte, die Privatsphärenrisiken blieben bestehen, bis Apple und Google das System mobiler Werbe-IDs dauerhaft abschalten und anerkennen, dass diese Technik das globale Ökosystem der Datenbroker gestützt habe

Reaktionen der Bundesstaaten und verfassungsrechtliche Fragen

  • Laut Bloomberg Law haben sich die Drohungen gegen Bundesrichter zwischen 2019 und 2023 mehr als verdoppelt
  • Angesichts zunehmender feindseliger politischer Ermittlungen und Verschwörungserzählungen über Regierungsbeamte treiben mehrere Bundesstaaten Gesetze voran, die Daniel’s Law ähneln
  • Ein pensionierter Polizeibeamter aus West Virginia reichte eine Sammelklage gegen den Personensuchdienst Whitepages ein und berief sich dabei auf Verstöße gegen ein ähnliches, 2021 verabschiedetes Landesgesetz nach dem Vorbild von Daniel’s Law
  • Maryland verabschiedete im Mai 2024 den Judge Andrew F. Wilkinson Judicial Security Act
    • Das Gesetz ist nach dem ermordeten Richter des County Circuit Court Andrew F. Wilkinson benannt
    • Es erlaubt aktuellen und ehemaligen Mitgliedern der Justiz in Maryland, die Nichtveröffentlichung ihrer persönlichen Daten zu verlangen
    • Zu den personenbezogenen Daten können Wohnadresse, Telefonnummer, E-Mail-Adresse, Social Security Number oder bundesstaatliche Steuer-ID, Bank- und Kartennummern, Fahrzeugkennungen, Geburts- und Heiratsregister, Namen von Kindern sowie deren Schulen oder Betreuungseinrichtungen, Gottesdienstorte und die Arbeitsplätze von Ehepartnern, Kindern und Unterhaltsberechtigten gehören
  • Troutman Pepper schrieb 2024, dass 37 Bundesstaaten ähnliche Datenschutzgesetze zum Schutz von Justizangehörigen und in manchen Staaten auch von mit Strafverfolgung befassten Regierungsbeamten prüfen oder verabschiedet haben
  • Atlas behauptet, LexisNexis habe als Reaktion auf Löschanträge von Strafverfolgungskunden in New Jersey die Kreditakten von etwa 18.500 Personen gesperrt und sie fälschlich als Opfer von Identitätsdiebstahl gemeldet
  • Die Datenbroker-Branche hat mindestens 70 der Atlas-Klagen vor Bundesgerichte gebracht und argumentiert, das Gesetz von New Jersey sei zu weit gefasst und verstoße gegen den ersten Verfassungszusatz
  • Der zuständige Richter wird voraussichtlich in den kommenden Wochen über die Anträge auf Abweisung entscheiden; unabhängig vom Ausgang dürfte die Entscheidung wohl bis vor den US Supreme Court angefochten werden
  • Medienrechtsexperten befürchten, dass die Einführung von Daniel’s-Law-Varianten in anderen Bundesstaaten die Fähigkeit der Presse einschränken könnte, Amtsträger zu kontrollieren, und dass Medien, die öffentliche oder staatliche Unterlagen berichten, auf denen die Personensuchbranche beruht, strafrechtlich belangt werden könnten

Fehlende Regulierung durch den Kongress und Datenbroker

  • Sen. Ron Wyden sagte, die derzeitige Datenschutzkrise sei entstanden, weil der Kongress es versäumt habe, Datenbroker zu regulieren, und weil die Exekutive sich fortlaufend gegen parteiübergreifende Gesetzgebung gestellt habe, die den Verkauf von Daten an Strafverfolgungsbehörden einschränken würde
  • Wyden warnte, Standortdaten könnten genutzt werden, um queere US-Bürger zu identifizieren und zu outen oder um Menschen zu verfolgen, die für reproduktive Gesundheitsversorgung Staatsgrenzen überschreiten
  • Er kritisierte außerdem, dass Datenbroker die intimsten Geheimnisse von US-Bürgern für wenige Dollar verkaufen und sie damit schweren Schäden aussetzen
  • Wyden sieht auch Google in der Verantwortung, weil das Unternehmen anders als Apple die Möglichkeiten von Firmen zur Verfolgung über Mobiltelefone nicht beseitigt habe
  • Justin Sherman sagte, Datenbroker und die mobile Werbeindustrie sprächen zwar von Anonymisierung, Zugangsbeschränkungen und Grenzen dessen, was sich aus Standortdaten ableiten lasse, tatsächlich ließen sich aber Opfer von Missbrauch, Gesundheitszustände, religiöse Überzeugungen, Geschworene, Strafverfolgungsbeamte bei Besuchen von Häusern Verdächtiger sowie Geheimdienstmitarbeiter und ihre Kontaktpersonen ableiten

Welche Einstellungen Nutzer ändern können

  • Datenschutzexperten gehen davon aus, dass das Deaktivieren oder Löschen der MAID keinen Einfluss auf die Funktion des Telefons hat, aber gezielte Werbung auf dem Gerät deutlich verringern kann
  • Unter Android lässt sich in der App „Settings“ unter Location > App Permissions prüfen, welche Apps Standortberechtigungen haben
    • „Allowed all the time“ ist die weitreichendste Berechtigung
    • Danach folgen „Allowed only while in use“, „Ask every time“ und „Not allowed“
  • Android-Nutzer können unter Settings > Privacy > Ads auf Delete advertising ID tippen, um die Werbe-ID dauerhaft zu löschen
    • Laut EFF kann dann künftig keine App auf dem Telefon mehr auf die Werbe-ID zugreifen
  • Unter iOS müssen Apps standardmäßig um Erlaubnis bitten, bevor sie auf die IDFA des Geräts zugreifen
    • Wenn bei der Installation einer neuen App die Abfrage zur Tracking-Erlaubnis erscheint, kann man „Ask App Not to Track“ wählen
    • Wird der Schalter „Allow apps to request to track“ deaktiviert, können Apps keine Tracking-Anfragen mehr stellen
  • Apples eigenes System für zielgerichtete Werbung ist von IDFA-basierter Drittanbieter-Verfolgung getrennt
    • Unter Settings > Privacy > Apple Advertising muss Personalized Ads deaktiviert werden
  • Wer im Freundes- oder Familienkreis die übliche IT-Unterstützung übernimmt, sollte Tracking auch auf den Geräten nahestehender Personen abschalten und Apps deaktivieren, die rund um die Uhr Standortfreigaben nutzen
  • Selbst wenn das eigene Gerät nicht direkt über Werbedaten verfolgt wird, kann der eigene Standort abgeleitet werden, wenn das Gerät einer nahestehenden Person verfolgt wird

1 Kommentare

 
GN⁺ 2024-10-25
Meinungen auf Hacker News
  • Man kann darüber streiten, ob die Polizei Zugriff auf diese Daten haben sollte und welche Regeln für Zugriffswege und Begründungen gelten sollten.
    Weil kulturelle Erwartungen an Privatsphäre und Sicherheit unterschiedlich sind, gibt es wohl nicht die eine richtige Antwort. Aber dass es derzeit null Regulierung gibt, kann kaum richtig sein.
    Dass jeder, der nur bezahlt, ultrahochauflösende Standortdaten anderer Menschen sammeln kann, ist wirklich absurd.

    • In den Anfangstagen mobiler Daten bot eine AT&T-App eine Funktion an, die über das GPS eingeloggter Nutzer Freunde in der Nähe fand.
      Beworben wurde das etwa damit, spontan jemanden zu finden, der mitkommt, wenn man in der Innenstadt kostenlose Baseballkarten bekommen hatte. Aber die Leute erschraken darüber, dass das Gerät ihren Standort kannte, und die Sache scheiterte komplett.
      Auch Nextel brachte eine Enterprise-Tracking-App für Lieferfirmen heraus, mit der sich Fahrzeugstandorte und Standzeiten überwachen ließen. Ein Unternehmen sagte die Einführung nach Protesten der Mitarbeiter ab, ein anderes entfernte sie wenige Monate nach der Installation wieder, nachdem Mitarbeiter wegen Verletzung der Privatsphäre geklagt hatten.
      Früher wollten wir so etwas nicht; es fühlt sich seltsam an, dass sich das heute dahin verschoben hat, privaten Unternehmen einfach sämtliche persönlichen Informationen zu überlassen.
    • Kann man bei „null Regulierung“ nicht auf die DSGVO verweisen?
  • Zum ersten Mal begegnete mir die Vorstellung, dass Mobilfunkdaten an Dritte verkauft werden, als ich 2003 in Tschechien war.
    Sobald ich die Grenze von Österreich überquert hatte, bekam mein US-Handy Spam-SMS: erst eine Willkommensnachricht des lokalen Netzbetreibers, ein paar Minuten später Roaming-Hinweise von T-Mobile, danach Werbung für Hotels, Restaurants und Casinos.
    Das war noch vor der Ära der „Smartphones“, daher überrascht es mich nicht, dass es heute viel schlimmer geworden ist.

    • Letzten Monat bin ich in eine andere Region der USA geflogen, und plötzlich bekam ich politischen SMS-Spam nach Maßgabe dieser Region. Auch nach meiner Rückkehr dauerte es etwa zwei Wochen, bis sich der Spam wieder normalisierte.
    • Als ich vor ein paar Jahren in Detroit war, bekam ich am nächsten Morgen eine Nachricht eines kanadischen Mobilfunkanbieters, vermutlich Rogers, die mich in „Canadia“ willkommen hieß.
      Weiterer Spam kam nicht, aber mir wurde damals zum ersten Mal klar, dass das technische Problem, nahe einer Grenze Signale aus mehreren Ländern zu empfangen, eine ziemlich „interessante“ Herausforderung sein muss.
  • Der „Nacht“-Modus von Babel Street macht es leicht, bis auf wenige Meter herauszufinden, wo eine Zielperson normalerweise jede Nacht schläft.
    Es gibt kaum einen Grund, warum irgendjemand, insbesondere Strafverfolgungsbehörden, eine solche Funktion zur Schätzung nächtlicher Aufenthaltsorte brauchen sollte; und die Gründe, die einem einfallen, wirken alle ziemlich düster.

    • Für die Polizei kann diese Funktion bei der Vorbereitung einer Festnahme sehr nützlich sein.
      Wenn sie weiß, dass der Verdächtige schläft, sinkt die Wahrscheinlichkeit, dass Polizisten beschossen werden, erheblich.
      Allerdings steht diese Information nicht in direktem Zusammenhang mit dem Nachweis des Falls, sondern ist nur taktisch relevant und strategisch irrelevant.
      Deshalb frage ich mich, ob es dafür Schutzmechanismen braucht, die über den Fourth Amendment hinausgehen.
      Naiv betrachtet sollte die Strafverfolgung keinen Zugriff auf Informationen haben, die sie nicht als Beweis zur Fallbegründung verwenden kann; vermutlich sollte überhaupt niemand darauf zugreifen dürfen.
  • Man sollte Pi-Hole verwenden und einrichten.
    Pi-Hole-Einrichtung: https://jeffmorhous.com/block-ads-for-your-entire-network-wi...
    Video für alle, denen YouTube lieber ist: https://www.youtube.com/watch?v=eCA24qJBG8Q

    • Wenn ein Mobilgerät neben Wi-Fi gleichzeitig eine Mobilfunkdatenverbindung aufrechterhält und Apps auf beides zugreifen können, oder wenn es ohne erzwungenes Tunnel-VPN das LAN verlässt, bringt Pi-Hole gar nichts.
      Selbst mit einem solchen VPN halten die Mobilfunk-Interfaces von Android und iOS weiterhin integrierte Ausweichrouten offen.
      Mit Pi-Hole, LAN-Konfiguration und DoH wird es noch komplizierter.
      Wie Krebs und die von ihm zitierten Personen sagen, ist es an der Zeit, dass Apple und Google MAID vollständig entfernen.
      Trotzdem sollte man den Elternkommentar nicht downvoten; zuverlässige Adblocker sollte man überall einsetzen, wo es geht.
    • Wegen DoH/DoT und hartcodierter IPs wird DNS-basiertes Adblocking unmöglich.
  • Ich habe mit jemandem gesprochen, der an Google Ads gearbeitet hat, und er versicherte, dass diese Art von Tracking dort nicht genutzt werde.
    Allerdings würden solche Unternehmen wohl selbst intern zu verbergen versuchen, welches Tracking-Niveau sie betreiben.
    Um das zu verhindern, muss man Unternehmen für das verantwortlich machen, was aufgrund der von ihnen gesammelten Daten geschieht.
    Ob verkauft, gestohlen oder weitergegeben: Wenn Daten, die ein Unternehmen gesammelt hat, unangemessen genutzt werden, muss das sammelnde Unternehmen dafür bezahlen.

    • Was ist damit, wenn der Staat diese Daten nimmt, ihre Erhebung erlaubt und legalisiert und sie heimlich selbst sammelt?
      Große Unternehmen und staatliche Organisationen lieben Daten gleichermaßen.
      Branchen wie Tech und Finance sowie die künftig geplante Regierungsform, also die Technokratie, bauen darauf auf.
      Am Ende ist Datensammlung bereits Teil des Plans; es bleibt nur die Frage, ob der Einzelne davon erfahren kann.
    • Ein oft zitiertes, aber weiter erinnernswertes Wort lautet: „Es ist schwierig, jemanden dazu zu bringen, etwas zu verstehen, wenn sein Gehalt davon abhängt, es nicht zu verstehen.“
      Wenn man sieht, wie viele Menschen bei verschiedenen Skandalen von Anfang an Bescheid wussten und wie oft Missbrauch und Verbrechen eher vertuscht oder ausgenutzt als gemeldet oder bekämpft werden, wirkt Bosheit sehr gewöhnlich.
      „Damit das Böse triumphiert, genügt es, dass gute Menschen nichts tun.“
      Ein Unternehmen ist letztlich eine Gruppe von Menschen; vielleicht braucht es stärkere Anreize, damit Menschen nicht zulassen, dass „das Unternehmen“ antisoziale Dinge tut.
      Zumindest bei Führungskräften sollte das so sein.
      Vielleicht verheimlicht es das Unternehmen, vielleicht belügen sich die Menschen selbst.
      Sie sind klug genug, es herauszufinden; ab einem gewissen Punkt wird daraus vorsätzliche Unwissenheit.
  • Mit der Zeit dürfte immer deutlicher werden, dass die einzige Lösung darin besteht, schon den Besitz solcher Daten zu kriminalisieren und ein Verfahren zu schaffen, mit dem bei Entdeckung pauschalierter Schadensersatz eingeklagt werden kann.
    Es gibt den Präzedenzfall der Musikindustrie, bei dem für das Teilen urheberrechtlich geschützter Musik automatische Schadensersatzansprüche ohne Berechnung des tatsächlichen Schadens anfallen.
    In diesem Verfahren gibt es bereits sinnvolle Mechanismen, um vorsätzliche und versehentliche Nutzung zu unterscheiden.
    Dann würde eine Branche entstehen, die auf Erfolgsbasis nach Beweisen sucht.

  • War Xoogler (2011–2018)
    Ich hatte einmal die Idee vorgeschlagen, es Nutzern leichter zu machen, Apps „anzulügen“, indem man ihnen etwa falsche Standortdaten gibt, wenn eine App den Standort anfordert.
    So hätte man echte Wahlmöglichkeiten der Kunden in Bezug auf Anonymität bewahren können.
    Die Reaktion auf diese Idee hat mir viel über Incentives beigebracht.

    • Man kann das doch nicht einfach so neugierig offenlassen; ich würde gern wissen, was passiert ist.
      Falls du nicht durch etwas wie ein NDA gebunden bist, erzähl es bitte.
    • Der wirksamste effektive Altruismus braucht überhaupt keine Anonymität.
  • Werbung ist letztlich ein Virus, der jedes Ökosystem infiziert.

    • Aus der Perspektive von jemandem, der früher selbstständig war: Werbung ist gut.
      Denn sie hilft kleinen Unternehmen, mit bekannten Großkonzernen zu konkurrieren.
      Aber niemand braucht Daten in diesem Ausmaß.
      Was Werbetreibende brauchen, ist höchstens, jemandem Schuhwerbung zu zeigen, wenn er bei Google nach Schuhen sucht.
      Solche kontextbezogene Werbung ist gute Werbung und manchmal auch für Nutzer nützlich.
    • Deshalb nutze ich nur nutzerrespektierende Open-Source-Software.
    • Werbung ist der Motor des freien Marktes.
      Dass Werbung im Web und in Apps für bösartige Zwecke eingesetzt wird, ist ähnlich wie bei Bargeld oder fast allem anderen, das ebenfalls für bösartige Zwecke genutzt werden kann.
      Regulierung ist ein Versuch, solche Schäden zu verringern, aber letztlich nur ein Mechanismus, der menschliche Böswilligkeit indirekt adressiert.
  • Wenn man dieses wahnsinnig granulare Tracking nach seinen tatsächlichen Folgen benennen würde, wäre es Stalking und sollte eine Straftat sein.
    Wenn der heutige Zeitgeist von einer Rücksichtslosigkeitslücke beherrscht wird, sollten auch die personenbezogenen Daten der Menschen, die in der „Werbe“- und Tracking-Branche arbeiten, sowie das, was sie mithilfe von Überwachungstechnologie ausgespäht haben, in einer öffentlichen Datenbank landen.
    Falls es eine sinnvolle Anwendung für Google Glass gibt, dann könnte es sein, die Überwacher zu überwachen.

  • Ich frage mich, wie das unter iOS funktioniert, nachdem Apple die IDFA entfernt hat.
    Die Werbe-ID einer bestimmten App (MAID) scheint nur für diese App relevant zu sein und für Profiling nutzlos; außerdem wüsste ich nicht, wie eine App unter iOS an andere Identifikatoren gelangen sollte.
    Auch Wi-Fi-MAC-Adressen werden randomisiert.
    Geht man noch einen Schritt weiter und deaktiviert den Standortzugriff der App sowie die globale Werbe-ID, scheint die im Artikel beschriebene Suche schwierig zu sein.
    Beziehen sich die im Artikel genannten „25 % der Apple-Telefone“ auf Legacy-Geräte mit älteren iOS-Versionen vor der Entfernung der IDFA?

    • Diese 25 % scheinen Nutzer zu meinen, die sich freiwillig für die Option zur Tracking-Erlaubnis entschieden haben.
      Der Bericht scheint eher Apples Aussagen über die Wirkung dieser Entscheidung zu stützen.