Wi‑Fi-Ortungssysteme ermöglichen präzises Tracking des Standorts

 (amoses.dev)
21 Punkte von GN⁺ 2025-11-22 | 1 Kommentare | Auf WhatsApp teilen
  • Die Standortfreigabe-Anfrage des Browsers ist nicht nur eine einfache IP-basierte Standortschätzung, sondern führt eine präzise Standortbestimmung anhand von Informationen zu umliegenden Wi‑Fi-Access-Points durch
  • Dabei sammelt der Browser Daten wie SSID, BSSID und Signalstärke (RSSI) und gleicht sie mit Datenbanken von Anbietern wie Google ab
  • Diese Datenbanken wurden ursprünglich durch Wardriving sowie die fortlaufende Datenübertragung von Nutzergeräten aufgebaut
  • In der Vergangenheit gab es wiederholt Kontroversen um Datenschutzverletzungen, etwa durch den Vorfall der Erfassung unverschlüsselter Daten durch Google-Street-View-Fahrzeuge
  • Heute nutzen die meisten Geräte dieses System standardmäßig; ein Opt-out ist möglich, indem man die BSSID registriert oder „_nomap“ zur SSID hinzufügt

Anwesenheitssysteme und Standortprüfung

  • Die an der University of Wisconsin im Algorithmik-Kurs verwendete TopHat-Plattform prüft zur Anwesenheitskontrolle den tatsächlichen Standort der Studierenden
    • Zusätzlich zur bloßen Eingabe eines Anwesenheitscodes nutzt die Funktion „Secure AttendanceGerätestandortdaten, um festzustellen, ob sich Studierende in der Nähe des Hörsaals befinden
  • Da IP-basierte Standortschätzungen zu ungenau sind, verwendet TopHat die Geolocation API des Browsers
    • Diese API fordert ausdrücklich die Zustimmung der Nutzer an und kann den Standort mit einer Genauigkeit von wenigen Metern bestimmen

Funktionsweise der Geolocation API

  • Die Geolocation API nutzt verschiedene Quellen wie GPS, IP und Wi‑Fi, aber auf Geräten ohne GPS wie Laptops wird hauptsächlich das Wi‑Fi Positioning System (WPS) verwendet
  • Beim Aufruf von getCurrentPosition() sammelt der Browser SSID, BSSID und Signalstärke benachbarter Wi‑Fi-APs
    • Die BSSID ist ein eindeutiger Identifikator auf Basis der MAC-Adresse und ermöglicht die Unterscheidung mehrerer Netzwerke mit derselben SSID
  • Diese gesammelten Informationen werden an Standortdienstanbieter wie Google gesendet, die daraus durch Abgleich mit bereits vorhandenen Daten den genauen Standort berechnen

Geschichte der Wi‑Fi-Ortung und Datenerfassung

  • Ihren Ursprung hat die Technik in der Anfang der 2000er von Skyhook Wireless kommerzialisierten Methode des Wardriving
    • Dabei werden Fahrzeuge mit GPS-Empfängern ausgestattet, um unterwegs die Position und Signalstärke umliegender Wi‑Fi-Netzwerke aufzuzeichnen
  • Später sammelte Google Wi‑Fi-Informationen mit Street-View-Fahrzeugen, während Apple und Microsoft auf automatische Erfassung über Nutzergeräte umstiegen
  • Heute senden die meisten Smartphones und Laptops bei aktivierten Standortdiensten Informationen über umliegende Wi‑Fi-Netze an die Server der Hersteller, die diese Daten wiederum zur Standortschätzung anderer Geräte verwenden

Datenschutz- und Sicherheitskontroversen

  • 2010 wurde bekannt, dass Google mit Street-View-Fahrzeugen rund 600 GB unverschlüsselter HTTP-Daten gesammelt hatte, was erhebliche Kritik auslöste
  • Zudem wurde ein Fall gemeldet, in dem sich wegen eines Bugs in Microsofts Standort-API die Bewegungsroute eines Nutzers rekonstruieren ließ
  • In einer Studie der University of Maryland aus dem Jahr 2024 konnte durch eine Schwachstelle in Apples Standortdiensten der Standort von rund 2 Milliarden BSSIDs extrahiert werden
    • Diese Informationen könnten für das Tracking einzelner Personen oder zur Überwachung von Bevölkerungsbewegungen missbraucht werden
  • Die großen Unternehmen haben ihre APIs seitdem besser abgesichert und bieten Funktionen an, mit denen sich Netzwerke durch Anhängen von „_nomap“ an die SSID oder durch Registrierung der BSSID aus den Datenbanken ausschließen lassen

Fazit und öffentliche Datenbanken

  • Die Technik wird als Wi‑Fi Positioning System (WPS) bezeichnet und ist weiterhin weit verbreitet im Einsatz
  • wigle.net ist eine öffentlich zugängliche, Crowdsourcing-basierte Datenbank, die über 25 Jahre hinweg rund 2 Milliarden Netzwerke gesammelt hat; dort können Nutzer prüfen, ob ihr eigenes Netzwerk registriert ist
  • beacondb.net ist eine auf Public-Domain-Daten basierende Funk-Ortungsdatenbank und bietet einen unabhängigen Datensatz abseits kommerzieller Dienste
  • Dass Laptops ihren Standort so präzise bestimmen können, liegt daran, dass unzählige Nutzer unbewusst Wi‑Fi-Daten bereitgestellt haben
  • Selbst die Anwesenheitskontrolle in Vorlesungen funktioniert auf Basis dieses kollektiv angehäuften Datenbestands

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-11-22
Hacker-News-Kommentare

  • Ich habe in den Firefox-Einstellungen meinen Standort fest auf einen bestimmten Ort in der Nähe meines Zuhauses gesetzt
    user_pref("geo.provider.network.url", 'data:application/json,{"location": {"lat": 45.0, "lng": -122.0}, "accuracy": 128.0}');
    So glaube ich, dass keine Wi-Fi-Daten nach außen durchsickern

    • Es gibt verschiedene Optionen für MacOS, Linux und zum vollständigen Deaktivieren der Funktion
      Zum Beispiel muss man geo.provider.use_corelocation, geo.provider.use_geoclue, geo.enabled usw. auf false setzen
      Außerdem muss man geo.provider.testing möglicherweise auf true setzen
      Relevante Links: Bugzilla-Ticket, StackOverflow, Security StackExchange
    • Es gibt das Plugin LocationGuard, mit dem sich die Standortgenauigkeit pro Website anpassen lässt
      Chrome-Version, Firefox-Version

  • Als ich früher bei einem Zoom-Konkurrenten gearbeitet habe, haben wir mit einer Funktion experimentiert, die erkennt, ob Teilnehmer sich im selben Raum befinden
    Jeder Laptop gab einen einzigartigen hochfrequenten Ton aus und hörte auf die Signale der anderen
    Im Labor funktionierte es gut, in der Praxis scheiterte es aber. Trotzdem war es ein interessanter Versuch

    • Die Leute sollten grundlegende Höflichkeit lernen. Videokonferenzen ohne Kopfhörer zu führen ist verrückt
      Hintergrundgeräusche, Feedback, Lautsprecherton usw. ruinieren das Meeting
    • Microsoft Teams unterstützt ebenfalls auf Ultraschall basierende Howling-Erkennung
    • Google Meet bietet eine ähnliche Funktion
    • Hochfrequente Töne auszusenden kann schädlich für die Ohren sein
      Verwandter Artikel: Science.org
    • Cisco Teams/Webex hatte ebenfalls eine Funktion, die per Ultraschall Teilnehmer im Besprechungsraum erkannte

  • Ich habe vor Kurzem ein kleines CLI namens where-am-i gebaut
    GitHub-Link
    Weil Indoor-GPS ziemlich schlecht ist, finde ich solche Geolokalisierungstechnologien wirklich nützlich

    • Ich frage mich, warum man drinnen GPS braucht. Weiß man in den meisten Fällen nicht ohnehin, wo man ist?
    • Unter Linux gibt es auch eine Demo namens /usr/libexec/geoclue-2.0/demos/where-am-i
    • Aber in großen Einkaufszentren, Bahnhöfen oder Flughäfen kann man leicht die Orientierung verlieren

  • Clevere Informatikstudierende betreiben heutzutage vermutlich eine Proxy-App, die die Wi-Fi-Umgebung weiterleitet, auf einem Android-Handy
    und Freunde greifen dann per Browser-Plugin oder Linux-Hack auf diese Daten zu, um den Standort zu fälschen

    • Tatsächlich gibt die Geolocation API des Browsers nur Koordinaten zurück, daher ist Standort-Spoofing ziemlich einfach
      Man muss nur die Koordinaten des Klassenraums kennen

  • Mein PC hat keine Funkverbindung, daher schlägt die Geolocation API immer fehl
    Wahrscheinlich wäre ich damit bei der Anwesenheitskontrolle durchgefallen
    Man könnte den Browser wohl auch so hacken, dass er einen falschen Standort zurückgibt
    Später fand ich dann frustrierenderweise heraus, dass sich das einfach über die Firefox-Einstellungen lösen lässt

  • Ich frage mich, ob Standort-Spoofing möglich ist, wenn man Administratorrechte hat
    Zum Beispiel würde ich gern ausprobieren, die SSID-/BSSID-Liste eines Klassenraums zu klonen, in dem ein Freund sitzt, und so vorzutäuschen, ich sei dort

    • Skylift sendet die nötigen Beacons mit ESP8266/ESP32-Hardware statt über das OS
    • Ich habe so etwas selbst zufällig erlebt. Direkt nachdem ich meinen Wi-Fi-Router in ein neues Zuhause umgezogen hatte, hielt mein Handy mich noch für am alten Standort
      Erst nach etwa 30 Sekunden wurde das korrekt aktualisiert

  • Das wirkt wie die moderne Version des Clicker-Systems aus früheren Uni-Zeiten
    Die „nicht patchbare Strategie“, einem Freund das Gerät zu geben, damit er die Anwesenheit für einen bestätigt, funktioniert immer noch

  • Ich habe lange Symbian genutzt und erst vor Kurzem erfahren, dass es diese Wi-Fi-Scanning-Praxis gibt
    Dass Google-Street-View-Fahrzeuge meinen Router scannen, ist für mich noch okay, aber dass mein Handy mich heimlich verfolgt, finde ich unangenehm
    Ich hoffe, Android-Forks wie GrapheneOS verhindern so etwas

    • Zumindest kann der Nutzer nachprüfbare Kontrolle haben

  • Als ich in Österreich studiert habe, hat die Universität die Studenten fast vollständig eigenverantwortlich handeln lassen
    Ich verstehe Anwesenheitspflicht nicht. Ich dachte immer, man muss nur die Prüfungen bestehen
    Laborveranstaltungen sind eine Ausnahme, aber wenn man dort nicht teilnimmt, fällt das sofort auf

    • An unserer Universität wurde die Anwesenheit auch nicht kontrolliert, aber manche Hochschulen haben ihre Gründe
      1. Den Studierenden fehlt es an Selbstdisziplin, daher motiviert Anwesenheitspflicht
      2. In diskussionsorientierten Lehrveranstaltungen ist Teilnahme unverzichtbar
      3. Wegen Visavorgaben für ausländische Studierende werden Anwesenheitsdaten benötigt
      4. Bei Beschwerden braucht man Anwesenheitsdaten für eine faire Beurteilung
        Am Ende hängt es von dem Niveau der Hochschule und der Selbstständigkeit der Studierenden ab
    • Als ich in Großbritannien Physik studiert habe, war die Anwesenheit ebenfalls freiwillig
      Dafür wurden Laborprojekte im Team durchgeführt, sodass man ohne Teilnahme keine Ergebnisse bekommen konnte
    • An meiner Universität gibt es immer noch eine manuelle Anwesenheitskontrolle
      Weil Daten für Stipendien, Diagramme zur Korrelation zwischen Anwesenheit und Noten usw. gebraucht werden
      Grundsätzlich sind Studierende aber Erwachsene, deshalb finde ich, dass Lernen ihre eigene Verantwortung ist
    • Ich habe 2004 in den USA meinen Abschluss gemacht, und selbst damals war die Teilnahme an Vorlesungen nicht verpflichtend
    • Heutige US-Studierende werden später erwachsen, sodass Universitäten in die Rolle eines Erziehungsberechtigten gedrängt werden

  • Diese Technologie wird bereits seit mehr als 20 Jahren breit eingesetzt
    GPS ist genau, aber langsam und in Innenräumen oder städtischen Umgebungen instabil
    Wi-Fi-Daten hingegen sind reichlich vorhanden, und man kann in weniger als einer Sekunde eine genaue Position erhalten