5.1.2 Minimale Einstellungen in der Praxis

Welche Verbindungen bauen die Geräte trotz der zuvor beschriebenen Minimaleinstellungen auf? Diese Frage wurde in praktischen Tests der vier Betriebssysteme geklärt. Die Untersuchungen betrachten also Verbindungen, welche das Gerät nach erstmaligem Einschalten trotz Minimaleinstellungen aufbaut. Die Verbindung zum Internet stellen die Smartphones dabei über WLAN her.

Der nachfolgende Abschnitt fasst die Ergebnisse der praktischen Tests zusammen und hebt wichtige Erkenntnisse hervor. Danach folgt pro Betriebssystem jeweils ein Abschnitt, in dem die Einzelergebnisse detailliert beschrieben werden.

Zusammenfassung der Ergebnisse

Für jedes der vier Betriebssysteme wurden in einem Zeitraum von 23 Stunden nach Einrichten die folgenden Eigenschaften der Verbindungen dokumentiert und untersucht:

  • Zieladresse: Für jede Verbindung des Endgerätes wurde die Adresse der Gegenstelle untersucht. Diese liegt zunächst als IP-Adresse vor. Es wurde sodann versucht, dieser IP-Adresse einen sprechenden Hostnamen zuzuordnen.
  • Ausgetauschte Datenmenge: Für jede Verbindung wurde die gesamte ausgetauschte Menge an Daten sowie die vom Gerät gesendeten Daten dokumentiert und untersucht.
  • Dauer der Verbindung: Für jede Verbindung wurde die Dauer dokumentiert und untersucht.
  • Enthaltene Klartextinformationen: Für jede Verbindung wurden die übertragenen Daten anhand der Datenpakete nachvollzogen und auf lesbare Informationen untersucht.
  • Verschlüsselung: Für jede Verbindung wurde überprüft, ob eine Transportverschlüsselung, z.B. TLS1 , eingesetzt wurde.

Tabelle 5.1 fasst die Testergebnisse zusammen. Android und iOS weisen mit 10,89 MB und 68,19 MB ein sehr hohes Datenvolumen auf, was Betriebssystem-Updates geschuldet ist. Im Rahmen einer solchen Untersuchung von Netzwerkverkehr können immer Updates einzelner Apps oder des Betriebssystems auftreten.

Tabelle 5.1: Zusammenfassung der Testergebnisse bei minimalen Einstellungen

Zusammenfassung der Testergebnisse bei minimalen Einstellungen

Für die Bewertung, ob – und gegebenenfalls welche – private Daten das Telefon verlassen, ist das reine Datenvolumen nicht entscheidend. Daher wurden in dieser Studie alle Einzelverbindungen untersucht. Nachfolgend werden die wichtigsten Ergebnisse zusammengefasst.

  • KOMMUNIKATION MIT DEM HERSTELLER Alle vier Betriebssysteme kommunizieren mit Endpunkten, die sich dem jeweiligen Hersteller des Betriebssystems zuordnen lassen.
  • VERSCHLÜSSELTE KOMMUNIKATION Alle vier Betriebssysteme setzen für einen Teil aufgebauter Verbindungen TLS zur Verschlüsselung der Datenübertragung ein. Für diese Verbindungen lässt sich im Rahmen der durchgeführten Tests nicht feststellen, welche Daten von den Endgeräten übertragen wurden.
  • DURCHGEHENDE VERBINDUNGEN Kurz nach Verbinden des Gerätes mit dem Internet wurden bei Android und iOS Verbindungen aufgebaut, die beinahe über den gesamten Testzeitraum aufrechterhalten wurden. Bei iOS handelte es sich dabei um den Basisdienst Apple Push Notification Service (APNS). Dieser Dienst dient dem Empfang von Push-Nachrichten. Hinsichtlich Android bestand die andauernde Verbindung mit mtalk.google.com, ein Dienst, der u.a. zur Bereitstellung von Video- und Chat-Funktionen eingesetzt wird (z.B. Google+ Hangouts). Auch BlackBerry OS baut kurz nach dem Start eine Verbindung zu einem BlackBerry-Server auf, die über fast den gesamten Messzeitraum aktiv bleibt. Der Zweck dieser Verbindung blieb jedoch unklar.
  • WERBEDIENSTE Einzig für Android ließ sich beobachten, dass mit einem Endpunkt zu Werbezwecken kommuniziert wurde. Der Endpunkt dieser Konversation lässt sich DoubleClick zuordnen, einem Unternehmen der Google-Gruppe.
  • UPDATE ZUR POSITIONSBESTIMMUNG Android und BlackBerry OS bauen eine Verbindung zu xtra1.gpsonextra.net bzw. zu xtra3.gpsonextra.net auf. Dieser Host übermittelt Daten an die Endgeräte, die die Positionsbestimmung per GPS auf den Geräten verbessern. Verkürzt dargestellt handelt es sich um ein Update für den Basisdienst zur Positionsbestimmung.
  • CONTENT DELIVERY NETWORKS (CDN) Alle vier Betriebssysteme bauen Verbindungen mit sogenannten Content Delivery Networks (CDN) auf. Ein Content Delivery Network (CDN) ist eine verteilte Architektur zur Auslieferung von Daten über das Internet. Verkürzt dargestellt werden etwa Videos in verschiedenen Rechenzentren vorgehalten und bei Anfragen eines Nutzers immer der günstigste Speicherort gewählt, z.B. auf Basis geografischer Nähe zwischen Nutzer und Video. So kann die Dienstgüte, z.B. für ruckelfreies Videostreaming, stark verbessert werden. CDNs eignen sich ferner zur Bereitstellung von Betriebssystem-Updates.
  • STANDORTBESTIMMUNG UND VERFÜGBARE WLANS Eine Auffälligkeit ließ sich beim Windows Phone beobachten: Dieses baute Verbindungen mit einem Endpunkt auf, der Dienste zur Standortbestimmung anbietet. Welche Daten übertragen wurden, konnte allerdings aufgrund der eingesetzten Verschlüsselung nicht festgestellt werden. Der Hostname (inference.location.live.net) sowie bekannt gewordene Vorfälle2) lassen vermuten, dass es sich um einen Dienst zur Standortbestimmung handelt. Laut Microsoft werden von diesem Dienst Zellinformationen sowie Informationen über Drahtlosnetze in Reichweite erfasst. Falls diese Daten tatsächlich erfasst und gesendet werden, steht dies im Widerspruch zu der im Test gewählten minimalen Einrichtung, bei der WLAN-Verbindungsdaten zur Erkennung von WLAN in der Umgebung sichern explizit deaktiviert wurde.

Einzelergebnisse der Betriebssysteme

Die nachfolgenden Abschnitte geben eine detaillierte Übersicht über die zentralen Ergebnisse der Untersuchung der einzelnen Betriebssysteme.

Android

Insgesamt kommunizierte das Gerät mit 22 Endpunkten (IP-Adressen) und etablierte 97 Verbindungen, wobei 10,89 Megabyte Daten ausgetauscht wurden. Weitere Informationen über die Konversationen und Verbindungen beinhalten dies:

  • Bei 13 der 97 Verbindungen wird der Transportkanal mit TLS verschlüsselt.
  • 20 der 22 Endpunkte besitzen IP-Adressen, die auf Google registriert sind.
  • 1 der 22 Endpunkte besitzt eine IP-Adresse, die auf Peer1hosting3) registriert ist.
  • 1 der 22 Endpunkte besitzt eine IP-Adresse, die auf Hetzner Online4) registriert ist.
  • Die längste Verbindung (bestehend aus mehreren Konversationen) besteht mit der URL
    mobile-gtalk.I.google.com (für weitere Informationen siehe unten), dauert fast 23 Stunden und beginnt innerhalb der ersten zehn Sekunden, nachdem das Gerät mit dem Internet verbunden ist.

Bei den untersuchten Verbindungen fällt auf:
Bereits wenige Sekunden nach der Herstellung der Verbindung des Gerätes wird eine Verbindung zu einem Server etabliert, dessen Hostname mobile-gtalk.I.google.com lautet und der die URL mtalk. google.com besitzt. Dieser Dienst gehörte vormals zum Google Talk Client, d.h. Voice & Chat-Dienst der seit 2013 durch Google+ Hangouts ersetzt wurde. Diese Verbindung wird etabliert, ohne dass eine Verknüpfung des Gerätes mit einem Google-Konto existiert.

Unmittelbar nach Verbindung mit dem Internet wird Kontakt zu einem Server aufgebaut, dessen Host xtra3.gpsonextra.net lautet. Die Adresse gpsonextra.net ist registriert auf die Firma Qualcomm, den Hersteller des im Gerät verbauten Funkchips. Ziel dieser Konversation ist die Übermittlung von Daten an das Endgerät, um die Positionsbestimmung per GPS zu verbessern, dieser Datenaustausch wird nicht zur Positionsbestimmung des Gerätes genutzt.

Auch etabliert das Gerät unmittelbar nach Verbindungsaufbau mit dem Internet eine Verbindung mit einem Server, dessen Hostname www.googleadservices.com lautet und der unter der URL http://www.google.com/doubleclick/ zu erreichen ist. DoubleClick ist ein Unternehmen der Google-Gruppe, das Werbetechnologien bereitstellt.5 Diese Verbindung besteht für mehr als elf Stunden. Der Verbindungsaufbau enthält eine Anfrage, welche offenbar für die vorinstallierte YouTube-App eine bestimmte Metrik zu Werbezwecken anfordert (/pagead/conversion/).

BlackBerry OS

Insgesamt kommunizierte das Gerät mit 20 Endpunkten (IP-Adressen) und etablierte 296 Verbindungen, wobei 1,28 Megabyte Daten ausgetauscht wurden.

  • 10 der 296 Verbindungen wurden mit TLS verschlüsselt.
  • 15 von 20 Endpunkten besitzen IP-Adressen, die auf BlackBerry registriert sind.
  • 2 von 20 Endpunkten besitzen IP-Adressen, die auf Akamai (CDN-Anbieter) registriert sind.
  • 1 von 20 Endpunkten besitzt eine IP-Adresse, die auf Google registriert ist.
  • 2 von 20 Endpunkten besitzen IP-Adressen, die auf Qualcomm registriert sind.
    Kurz nach dem Aufbau der Verbindung zum WLAN wird automatisch eine Verbindung zu BlackBerry (blackberry.com) aufgebaut, die über den gesamten Testzeitraum aktiv ist.

Unter den untersuchten Verbindungen sind folgende hervorzuheben:
Unmittelbar nachdem das Gerät mit dem Internet verbunden ist, wird ein Server über die Adresse xtra3.gpsonextra.net kontaktiert. gpsonextra.net ist registriert auf die Firma Qualcomm (Hersteller des eingebauten Funkchips). Ziel dieser Konversation ist die Übermittlung von Daten an das Endgerät, um die Positionsbestimmung per GPS zu verbessern.

Zwei unverschlüsselte Verbindungen werden zu time.blackberry.com aufgebaut. Über diese Verbindungen synchronisiert BlackBerry seine Uhrzeit.

Eine verschlüsselte Verbindung wird zu einem BlackBerry-ID-Server aufgebaut, obwohl bei der Durchführung des Tests keine BlackBerry-ID auf dem Telefon eingerichtet war.

Zwei Verbindungen werden zu Servern mit Eyeball AnyFirewall Engines aufgebaut. Dabei handelt es sich laut der Produktwebseite6)7) um Technologien zur Umgehung von NAT-Firewalls, wie sie in vielen Heimnetzwerken zu finden sind. Dies ermöglicht den Aufbau von Direktverbindungen zwischen zwei hinter solchen Firewalls befindlichen Geräten. Möglicherweise wird diese Funktionalität für den BlackBerry Messenger (BBM) benötigt, der sowohl VoIP als auch Videotelefonie zwischen verschiedenen Endgeräten ermöglicht.

iOS

Insgesamt kommunizierte das Gerät mit 55 Endpunkten (IP-Adressen) und etablierte mit diesen Endpunkten 202 Verbindungen, wobei 68,19 Megabyte Daten ausgetauscht wurden. Weitere Informationen über die Konversationen:

  • 39 der 55 Endpunkte besitzen IP-Adressen, die auf Apple registriert sind.
  • 16 der 55 Endpunkte besitzen eine IP-Adresse, die auf Akamai registriert ist.
  • 105 der 202 Verbindungen wurden mit TLS verschlüsselt.
  • 97 der 202 Verbindungen waren unverschlüsselt.

Unter den untersuchten Verbindungen sind folgende hervorzuheben:
Über den gesamten Testzeitraum bestand eine Verbindung mit mu-courier.push-apple.com.akadns.net, dem APNS (Apple Push Notification Service), der für das Empfangen von Push-Nachrichten auf dem iPhone vorgesehen ist. Die Verbindung zum APNS lässt sich vom iPhone aus nicht deaktivieren, außer durch das Abstellen der Netzwerkverbindung.

Die Verbindung mit der wu.apple.com ist unverschlüsselt und lässt sich auf die vorinstallierte Aktien-App zurückverfolgen. Für die Aktien-App ist standardmäßig die Hintergrundaktualisierung aktiviert. Diese lässt sich aber in den Systemeinstellungen abstellen. Aus der Konversation kann man herauslesen, welche Daten abgefragt werden, d.h. welche Aktien den Nutzer interessieren.

Windows Phone

Insgesamt kommunizierte das Gerät mit 25 Endpunkten (IP-Adressen) und etablierte 69 Verbindungen, wobei 1,76 Megabyte Daten ausgetauscht wurden. Weitere Informationen über die Konversationen und Verbindungen:

  • Bei 31 der 69 Verbindungen wird der Transportkanal mit TLS verschlüsselt.
  • 12 der 25 Endpunkte besitzen eine IP-Adresse, die auf Microsoft registriert ist.
  • 6 der 25 Endpunkte besitzen eine IP-Adresse, die auf Akamai registriert ist.
  • Die verbleibenden 7 IP-Adressen der insgesamt 25 Konversationen verteilen sich auf Deutsche Telekom, EdgeCast Networks (CDN, gehört zu Verizon), nebula (finnischer Internet-Anbieter), Verizon und Internet Assigned Numbers Authority (IANA)8 .
  • Die längste Konversation besteht mit dem Host mscrl.microsoft.com unter der URL cs1.wpc. v0cdn.net (für weitere Informationen siehe unten), dauert etwa 14 Stunden und beginnt innerhalb der ersten 90 Sekunden, nachdem das Gerät mit dem Internet verbunden ist. Anhand des Hostnamens kann abgeleitet werden, dass es sich um einen Dienst handelt, der regelmäßig die sogenannte Certificate Revocation List (CRL) aktualisiert [10]. Die Liste enthält nicht mehr gültige Zertifikate sowie den Grund für die Ungültigkeit. Zertifikate werden u.a. zur Authentifizierung von Kommunikationspartnern, z.B. Webservern, genutzt.

Unter den untersuchten Verbindungen stechen hervor:
Etwa 13 Stunden nachdem das Gerät mit dem Internet verbunden wurde, wird eine verschlüsselte Verbindung zu dem Host inference.location.live.net unter der URL inference.location.glbdns2.microsoft.com aufgebaut. Aufgrund der Verschlüsselung können die übertragenen Daten nicht gelesen werden. Hostname sowie diverse Berichte9) über die Aufzeichnung von Standortdaten deuten aber darauf hin, dass es sich hierbei um einen Dienst zur Standortbestimmung handelt. Laut Microsoft werden bei diesem Dienst Zellinformationen sowie Informationen über Drahtlosnetze in Reichweite erfasst. Falls diese Daten tatsächlich erfasst und gesendet werden, steht dies im Widerspruch zu der im Test gewählten minimalen Einrichtung, bei der WLAN-Verbindungsdaten zur Erkennung von WLAN in der Umgebung sichern explizit deaktiviert wurde (siehe Kapitel 5.1.1, Abschnitt Windows Phone).

Weiterhin baut das Gerät – etwa eine Stunde nachdem es mit dem Internet verbunden wurde – eine Verbindung mit dem Host statsfe2.update.microsoft.com auf. Sodann übermittelt das Gerät u.a. folgende Informationen an den Host: eine (vermutlich) eindeutige ID für das Gerät, Zeitstempel des Berichtes, Gerätetyp, Betriebssystemversion sowie kompatible Prozessorarchitektur. Die Erfassung dieser Informationen ist konsistent mit den Angaben in den Nutzungsbedingungen zur Erhebung von sogenannten Standardinformationen über das Gerät (siehe Abschnitt Windows Phone in Kapitel 5.6).

Unmittelbar nachdem das Gerät mit dem Internet verbunden ist, wird zudem eine verschlüsselte Verbindung zu einem Server aufgebaut, dessen Hostname api.live.net lautet. Über diese Adresse können Webservices mit entsprechender Autorisierung alle Daten abrufen, die mit einem Microsoft-Konto verbunden sind. Der Aufruf der Programmierschnittstelle (API) findet zeitlich viel früher statt als die Aufforderung des Nutzers, während der Einrichtung seines Endgerätes dieses mit einem Microsoft-Konto zu verknüpfen.

  1. Transport Layer Security (TLS) ist ein kryptografisches Protokoll, das eingesetzt wird, um Kommunikationsverbindungen im Internet abzusichern, z.B. beim Aufruf von Online-Banking-Seiten. []
  2. Für weitere Informationen siehe http://www.cnet.com/news/microsofts-webmap-exposes-phone-pc-locations/ (Letzter Zugriff 29.07.2014 []
  3. http://www.peer1hosting.co.uk/ (Letzter Zugriff 29.07.2014 []
  4. http://www.hetzner.de/ (Letzter Zugriff 29.07.2014 []
  5. Für weitere Informationen siehe http://www.google.com/doubleclick/ (Letzter Zugriff 29.07.2014). []
  6. http://www.eyeball.com/products/stun-turn-ice-library/ (Letzter Zugriff 29.07.2014 []
  7. http://www.eyeball.com/nat-traversal/ (Letzter Zugriff 29.07.2014 []
  8. IANA ist ein US-amerikanisches Unternehmen, das unter anderem für die Zuordnung von IP-Adressen im Internet zuständig ist. Für weitere Informationen siehe https://www.iana.org/ (Letzter Zugriff 29.07.2014). []
  9. Siehe z.B. http://www.cnet.com/news/microsofts-web-map-exposesphone-pc-locations/ (Letzter Zugriff 29.07.2014 []