'Maatregels telefoonfabrikanten tegen tracking via mac-adres schieten tekort'

Onderzoekers van de US Naval Academy hebben een paper gepubliceerd waarin zij aandacht besteden aan het genereren van willekeurige mac-adressen op mobiele apparaten om tracking tegen te gaan. De conclusie is dat de huidige implementatie tekortschiet.

Zo schrijven de onderzoekers in hun recent gepubliceerde paper dat zij in staat waren om alle onderzochte telefoons van verschillende fabrikanten te tracken. Zij bouwden daarbij voort op eerder onderzoek van onder andere de KU Leuven, waarin technieken voor het tracken van wifiapparaten aan de hand van mac-adressen werden onderzocht. Zo keken zij naar Android- en iOS-toestellen, die allemaal in staat zijn om willekeurige mac-adressen te genereren. Hiervoor vingen zij gedurende twee jaar draadloos netwerkverkeer van in totaal 2,8 miljoen toestellen op.

De onderzoekers lieten aan The Register weten dat zij vaststelden dat ongeveer 70 procent van Android-telefoons niet gebruikmaakt van de mogelijkheden voor randomization die het besturingssysteem biedt. Zo maken bijvoorbeeld Samsung-toestellen geen gebruik van de techniek, hoewel de onderzoekers erop wijzen dat de fabrikant de grootste maker van Android-toestellen is en 23 procent van hun dataset vormde. Zij vermoeden dat dit voortkomt uit compatibiliteitsproblemen met de eigen chipset.

Apple-toestellen maken wel gebruik van het willekeurig aanmaken van mac-adressen. Dit werd geïntroduceerd in iOS 8. In iOS 10 werd echter een functie geïntroduceerd, waardoor het volgens de onderzoekers zeer eenvoudig werd om een Apple-toestel te identificeren. Zo voegde de fabrikant een specifiek information element toe. De onderzoekers wisten de reden hiervoor niet te achterhalen. Hoewel het bedrijf stappen onderneemt om identificatie moeilijk te maken, is het alsnog mogelijk om het daadwerkelijke mac-adres te achterhalen door het versturen van een rts-frame.

Aan het einde van hun paper schrijven de onderzoekers dat 'het genereren van willekeurige mac-adressen is noch universeel geïmplementeerd, noch effectief in het beschermen van de privacy'. Om dit te verbeteren doen zij enkele aanbevelingen, waaronder het universeel invoeren van de techniek. Doordat meer toestellen ervan gebruikmaken, is het moeilijker om tot identificatie over te gaan.

In Nederland besteedt de Autoriteit Persoonsgegevens aandacht aan tracking via mac-adressen. Zo wordt dit bijvoorbeeld ingezet om de bewegingen van winkelbezoekers bij te houden. Zo moest bijvoorbeeld het bedrijf Bluetrace in september stoppen met wifi-tracking van omwonenden van winkelgebieden.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 10-03-2017 18:33 50

10-03-2017 • 18:33

50

Lees meer

AP: volgen van telefoongebruikers met wifitracking mag alleen bij uitzondering
AP: volgen van telefoongebruikers met wifitracking mag alleen bij uitzondering Nieuws van 30 november 2018
'Sites over ziekten en verslaving plaatsen trackingcookies'
'Sites over ziekten en verslaving plaatsen trackingcookies' Nieuws van 11 juli 2017
Gemeente Amsterdam gaat drukte op de Wallen meten met wifitracking
Gemeente Amsterdam gaat drukte op de Wallen meten met wifitracking Nieuws van 17 juni 2017
Bluetrace moet stoppen met wifi-tracking van omwonenden in winkelgebieden
Bluetrace moet stoppen met wifi-tracking van omwonenden in winkelgebieden Nieuws van 1 september 2016
Minister belooft om publiek voor te lichten over wifi-tracking
Minister belooft om publiek voor te lichten over wifi-tracking Nieuws van 8 juli 2016
Autoriteit Persoonsgegevens wijst organisaties op wettelijke eisen wifi-tracking
Autoriteit Persoonsgegevens wijst organisaties op wettelijke eisen wifi-tracking Nieuws van 16 juni 2016
CBP: aanbieder wifi-tracking bij winkels overtrad wet
CBP: aanbieder wifi-tracking bij winkels overtrad wet Nieuws van 1 december 2015
'Anti-trackingoptie iOS 8 voldoet niet'
'Anti-trackingoptie iOS 8 voldoet niet' Nieuws van 26 september 2014
Apple rust iOS 8 uit met truc om wifi-tracking te voorkomen
Apple rust iOS 8 uit met truc om wifi-tracking te voorkomen Nieuws van 9 juni 2014
Dixons, MyCom en iCentre gaan klanten informeren over wifi-tracking
Dixons, MyCom en iCentre gaan klanten informeren over wifi-tracking Nieuws van 23 januari 2014
Dixons, MyCom en iCentre volgen klanten door peilen wifi-signaal
Dixons, MyCom en iCentre volgen klanten door peilen wifi-signaal Nieuws van 23 januari 2014
Meer producten en artikelen
Netwerk en systeembeheer Security

Reacties (50)

-Moderatie-faq
50
48
38
6
0
2
Wijzig sortering
Armin
10 maart 2017 19:39
Ik ben benieuwd hoe de random-MAC fucntie van Windows 10 (Mobile) zich hiermeer vergelijkt. Net als iOS is er een optie om een ramdom MAC te gebruiken voor scannen en andere niet essentiele taken.

Als ik het document doorscan is een groot deel van de kritiek niet zozeer dat MAC-randomisatie zelf niet werkt, maar:
1) dat Android het niet standaard gebruikt
2) veel Android implementatie een reeks aan verschillende bugs hebben waardoor het toch mogelijk is de echte MAC te achterhalen
3) iOS een nieuwe feature heeft die het gebruik van de MAC als tracking ID onnodig maakt, omdat men op een andere wijze al kan tracken.
4) er een bug - in waarschijnlijk chipset drivers - bestaat die voor een administratief sub-protocol van de WiFi spec, het echte MAC address verraadt (RTS Controle Frame Attack) die werkt op veel telefoons. Op Android werkt deze aanval bovendien schrikbarend soms ook als WiFi uit staat.

Ik ben vooral benieuwd of de implementatie van Windows 10 (Mobile) ook last heeft van de bugs (punt 2) zoals aanwezig op Android en de RTS aanval (punt 4).
Fireshade @Armin10 maart 2017 20:20
Uit de paper over Windows 10, helaas niet voor Windows Mobile:
5.3 Windows 10 and Linux Randomization
To conclude our categorization of randomization schemes, we look to identify the probe requests from devices using Windows 10 and Linux MAC address randomization implementations. Our first test compares the signatures obtained from laboratory laptops to the signatures of our locally assigned dataset.
We find 59 matches to our laptop signatures, indicating possible Windows 10 or Linux randomization. Next, we parse collection files using the locally assigned MAC addresses from the probe request frames of these devices. Our hypothesis, if we find matching locally assigned MAC addresses in authentication, association, or data frames, that the randomizations
scheme is likely Windows 10 or Linux. This assumption is due to the fact that the randomization policies use the same locally assigned address for network establishment and higher layer data frames. To that end, we find that 14 of the 59 devices assessed to be Windows/Linux computers use a locally assigned MAC address when associated to a network.

[Reactie gewijzigd door Fireshade op 22 juli 2024 18:32]

Armin
@Fireshade10 maart 2017 20:29
Dat had ik ook al gelezen 8-)

Maar dat gaat dus enkel over hoeveel Linux en Windows 10 systemen gebruik maken van randomisatie.
WhatsappHack
@Armin10 maart 2017 23:07
Zijn 3 en 4 niet hetzelfde probleem? Die Apple devices reageren namelijk ook op het control frame.
Armin
@WhatsappHack10 maart 2017 23:58
Zo kun je het inderdaad zien. Wat ik meer bedoelde is dat er wat bugs zijn in de manier waarom MAC randomisatie gedaan worden in het Android OS. (Punt 2)

Daarnaast is er een methode om een gerichte scan te doen die het hele OS omzeilt omdat het met de chipset firmware praat. (Punt 4)

Uiteraard zijn het allemaal bugs, maar de ene zjn OS-specifieke bugs, de andere meer firmware/chipset specifiek (aldus de auteurs van het onderzoek). Ik vermoed - puur op mijn gevoel geef ik toe O-) - dat bugs in punt 2 waarschijnlijk niet in Windows 10 (Mobile) zitten, maar de bug van punt 4 weer wel.
kozue @Armin11 maart 2017 09:01
Voor zover ik de randomization in iOS ooit begrepen heb werkt deze alleen als het apparaat in een soort van slaapstand is. Deze komt daar vanzelf in terecht bij een gebrek aan activiteit, maar op de meeste smartphones is er zoveel activiteit (notificaties, achtergrondactiviteit, etc) dat die state eigenlijk overdag niet voorkomt. Waarmee de functie eigenlijk nutteloos wordt. Beter dus om gewoon de wifi uit te zetten als je gaat winkelen.

http://m.imore.com/closer-look-ios-8s-mac-randomization
sapphire 10 maart 2017 18:48
Als ik in een baldadige bui ben wil ik nog wel eens Pry-Fi van de Nederlandse ontwikkelaar Chainfire aanzetten. Vooral de "war" modus, dan emuleert de app gewoon een dozijn mensen (de mac adressen) ofzo om de wiFi tracking van bv. een winkel in de war te schoppen O-)

En anders is de app gewoon fijn omdat als je deze op de achtergrond draait MAC adressen randomized :)

Voor de geïnteresseerde (Android) gebruiker: Pry-Fi

[Reactie gewijzigd door sapphire op 22 juli 2024 18:32]

xoniq @sapphire10 maart 2017 19:53
Dat is toevallig een functie die in iOS 8 is geïntroduceerd op de iPhone, juist om wifi tracking tegen te gaan.

[Reactie gewijzigd door xoniq op 22 juli 2024 18:32]

Anoniem: 436362 @xoniq10 maart 2017 20:01
Is dit standaard in de nieuwste versie van iOS?
xoniq @Anoniem: 43636210 maart 2017 21:51
Ja, sinds iOS 8. (In m'n vorige reacties dacht ik 9)
iAR @sapphire10 maart 2017 21:43
Ik hou er wel van, dat soort rebelse counter attacks.
Het een gaat ook niet zonder 't andere.
OT: wel typisch dat niet iedereen de functie gebruikt...
kozue @sapphire11 maart 2017 09:05
Iemand die misschien zo'n app weet voor iOS? De randomization in iOS werkt niet naar behoren:
http://m.imore.com/closer-look-ios-8s-mac-randomization
(repost van hierboven, maar ik had m'n reactie daar al gepost voor ik deze las en hier is ie nog relevanter ;p)
Terrorjoekel 10 maart 2017 18:46
De bekende Nederlandse ontwikkelaar Chainfire heeft hiervoor ook een mooi tooltje gemaakt genaamd Pry-fi. Hiervoor is wel root toegang nodig en het werkt niet op iedere telefoon, op mijn S6 edge plus werkt het helaas niet maar misschien hebben anderen meer geluk :)

Edit: typo

[Reactie gewijzigd door Terrorjoekel op 22 juli 2024 18:32]

Splorky 10 maart 2017 22:08
Ik vraag me toch af hoe dat tracken zo makkelijk kan.

Als ik wifi aan heb maar geen verbinding heb met een AP, dan zoekt me telefoon naar AP's maar waarom gaat mijn telefoon dan ook zenden

Ik dacht altijd dat AP's hun SSID zonder request al uit zonden om de zoveel tijd waarbij daarna clients konden proberen te verbinden. Niet dat wifi clients continu hun aanwezigheid verkondigen tegen alles wat toevallig maar in de buurt is.
Dannisi @Splorky11 maart 2017 02:38
Het is nog mooier: jouw telefoon stuurt (eventueel) een lijst van SSID's mee waar jij ooit mee verbonden bent. Met een beetje wardriven zou je kunnen gokken waar iemand woont.
194673 @Splorky10 maart 2017 22:55
SSIDs kunnen hidden zijn, daarom stuurt je telefoon becons uit om bekende SSIDs te kunnen vinden.
segil 10 maart 2017 18:43
Een goede tool tegen het tracken (onder Android) is Wi-Fi Privacy Police. Deze tool zorgt ervoor dat je phone niet meer periodiek een lijst broadcast van bekende wifi netwerken. Hierdoor werkt het ssid tracking niet meer.
Armin
@segil10 maart 2017 19:43
Dat helpt, maar dus niet perfect. Eén van de besproken methoden om MAC-randomisatie te omzeilen lijkt namelijk - aldus de onderzoekers - een bug in de chipset firmware te zijn, en dus niet met OS en app trucs tegen te gaan. Hij lijkt zelfs in bepaalde gevallen te werken indien WiFi uit staat!

Dat komt omdat Android telefoons soms de WiFi scan functie "stiekem" aanzetten als locatie-services aan staan. De chipset reageert dan echter op bepaalde WiFi paketjes gericht aan het echte WiFi MAC.

Dus het niet rondsturen van SSID's helpt omdat het je minder zichtbaar maakt, maar helpt niet tegen een gerichte scan.
Anoniem: 85014 10 maart 2017 20:18
Eenvoudigere oplossing: maak het opslaan van MAC adressen illegaal en geef een aantal winkeliers een fikse boetes om een voorbeeld te stellen. Breng de veroordeling in het nieuws en als de winkelier er toch mee doorgaat verplicht of dwing je hem om zijn zaak te sluiten.

Op de smartphone zou het toestel tenzij het een gekende SSID tegenkomt (thuisnetwerk) die scanning e.d. kunnen afzetten.
WhatsappHack
@Anoniem: 8501410 maart 2017 23:08
En dat helpt hoe precies tegen kwaadwillenden die sowieso al maling hebben aan de wet? ;)
Anoniem: 85014 @WhatsappHack10 maart 2017 23:15
Boetes en sluitingen die de kwaadwillenden meer kosten dan de tracking hen opbrengt helpen vrij goed tegen kwaadwillenden.
WhatsappHack
@Anoniem: 8501410 maart 2017 23:29
Dat werkt enkel voor bedrijven en personen waarvan je weet wie het zijn, bijvoorbeeld je lokale computerzaak ofzo die de wet overtreedt. (Dat is misschien nog niet eens echt kwaadwillend bedoeld.)

Mijn punt is juist voor de situaties waarin een boete uitschrijven lastig tot onmogelijk is. Mensen waarvan je 't niet verwacht of die lastig te pakken zijn...
Dan hebben boetes nul komma nul nut. Je lost met boetes maar één probleem op, en dat is t probleem bij winkeliers en dergelijken. Maar een heel scala aan andere problemen los je er niet mee op, dat kan enkel opgelost worden door de apparaten zelf te beveiligen.
kakanox @Anoniem: 8501410 maart 2017 21:20
Afwachten tot de wet er is, md5 hash van mac vastleggen en twee bytes wissen... Legaal! :)

Mijn punt: Dit soort wetten zijn niet zo eenvoudig als je ze nu bedenkt.
Anoniem: 85014 @kakanox10 maart 2017 21:42
Bwa, je moet je wet niet te technisch gedetailleerd maken. Schrijf dat het opslaan van unieke gegevens verstuurd door een toestel dat radio signalen uitstuurt, op welke manier vervormd of onvervormd, met het oog op het traceren of identificeren van het toestel of de eigenaar van het toestel, illegaal is.

Doorgaans kijken rechters wel degelijk naar de intentie wanneer zoiets voorkomt. En dan kom je er als winkelier niet mee weg als je daar één of ander fantasietje van een reden van maakt. Je valt gewoon door de mand en de straf wordt nog een beetje hoger ook. Dat is dan ook waarom je advocaten zelden op die manier hoort pleiten om hun cliënt te verdedigen: men weet dat rechters niet met hun voeten laten rammelen. Dan rammelen ze wat harder met uw voeten terug.
TheMak @Anoniem: 8501411 maart 2017 09:38
Er is al geschikte wetgeving. Wet bescherming persoonsgegevens.
Anoniem: 85014 @TheMak11 maart 2017 17:04
Ben ik het volmondig mee eens. Maar blijkbaar vinden maar weinig strafpleiters het nodig om wat dan ook aan de vloed van inbreuken te doen.

Dit tot groot profijt van de ondernemingen die het zo massaal mogelijk misbruiken.

Iedereen weet dat er geen paal en park wordt aan gesteld. Dat er grote winsten mee te maken zijn. Dat de consument en burger het toch allemaal niet snapt. Maar iedereen weet ook dat de gevolgen enorm zijn. Er zijn al zelfmoorden geweest door dit soort inbreuken. Er zullen er nog komen. Het zal zéker niet ophouden. De inbreuken op privacy zullen zéker erger worden. De gevolgen zullen zeker ernstiger worden. Tot het kookpunt bereikt is. Dan zal het te laat zijn.
Stranger__NL @Anoniem: 8501410 maart 2017 23:55
Ik ben het met je eens.
Er is maar een politieke partij die dit als speerpunt heeft...

Het moge dan een stelletje n00bs zijn op politiek gebied, maar als er één privacy-schaap in de kamer zit dan volgen er hopelijk meer...
Anoniem: 85014 @Stranger__NL11 maart 2017 00:03
Ben zelf geen Nederlander. Is dit de piratenpartij? Wel ik heb gehoord dat ze volgens de peilingen één zetel zal halen. Dus dat is inderdaad alvast een begin. Spijtig dat hun partij als hoofddoel iets illegaals heeft (auteursrechten willen schenden) terwijl ze bv. over privacy in deze digitale tijden heel goede standpunten hebben.
kozue @Anoniem: 8501411 maart 2017 10:21
Hun partijnaam is misschien een beetje misleidend maar het gaat ze niet om het promoten van illegale dingen. Waar ze wel voorstander van zijn is vrije uitwisseling van informatie die niet gecontroleerd wordt door private partijen zoals de contentindustrie. Dit kun je echter ook op legale manieren bereiken, zoals het toestaan van "fair use" voor niet-commercieel gebruik.
Vliegvlug 10 maart 2017 19:01
Ik heb Wi-Fi buiten de deur uit.
Is ook een oplossing. :)
Diamondo25 @Vliegvlug10 maart 2017 19:15
Niet als je background scanning aan hebt staan :)
FvdM @Vliegvlug10 maart 2017 19:43
Bluetooth dan ook uitzetten, dat zend ook een MAC adres 10 meter rond.
kakanox @Vliegvlug10 maart 2017 21:18
Zie boven, reactie van Armin
YangWenli @Vliegvlug10 maart 2017 22:22
Wifi scanning en bluetooth òòk uitzetten dan. F it misschien moeten we weer een dumb phone gaan gebruiken 8)7
R4gnax @YangWenli11 maart 2017 14:33
Wifi scanning en bluetooth òòk uitzetten dan. F it misschien moeten we weer een dumb phone gaan gebruiken 8)7
Zijn die nieuwe Nokia phones mooi net op tijd. :+
the_stickie 10 maart 2017 20:59
Als je vervolgens wél gebruik gaat maken van 'gratis' wifi in supermarkten, winkelcentra, fastfood restaurants, bioscoop,... ben je eraan voor de moeite!
Misschien moeten we de mensen eerst dat even uitleggen, anders zijn al die obfuscaters gewoon zinloos, technisch betrouwbaar of niet.
Anoniem: 85014 @the_stickie10 maart 2017 21:59
Probleem is dat we ook getracked worden wanneer we die gratis wifi niet gebruiken. Moest die gratis wifi bij aanvang van gebruik me vertellen dat bij de voorwaarde van het gratis gebruik hoort dat ik getracked zal worden, prima dan. Maar zo werkt het niet. De wifi tracking is voor alles en iedereen. Zonder dat je toestemming gevraagd wordt.
the_stickie @Anoniem: 8501410 maart 2017 22:41
Klopt. Alleen heeft volgens mij een merendeel van de bevolking geen kennis/geen interesse in deze materie, en das op zijn minst een even groot probleem dan technische zwakheden die het volharders mogelijk maakt om tóch te tracken.

Ik ben geen jurist, maar het lijkt me dat als je mensen volgt die heben aangegeven dat niet te willen (door een tool te activeren/een beveiliging in te stellen) je de wet sowieso overtreedt?
EraYaN @the_stickie11 maart 2017 16:27
Nouja eigenlijk maakt het niet eens uit. Men kan ook gewoon je telefoon tracken op basis van GSM en dergelijke.
WhatsappHack
10 maart 2017 23:09
Ik zie dat vrijwel alle telefoons en computers hun hostnaam by default ook verraden, zowel bedraad als via WiFi. Dan heb je dat hele MAC-adres ook niet nodig om te identificeren...
HansvDr 10 maart 2017 18:46
Android wordt al 24/7 gevolgd door de grootste advertentieverkoper ter wereld.
GoldenBE @HansvDr10 maart 2017 18:49
Klopt, Android zoals het geleverd wordt op telefoons in de winkel wel. Echter niet op AOSP en dus ook niet op custom ROMs tenzij je zelf de Play store, Play services, ... gaat installeren.

Dus een tip voor mensen die alleen basisfunctionaliteiten gebruiken en niet gevolgd willen worden:
Custom ROM + apps sideloaden (Natuurlijk geen Google Chrome, wel Firefox etc)

Voor WiFi tracking zal je echter een app moeten gebruiken zoals die van Chainfire die hier ook vermeld werd, en/of gewoon je WiFi zo veel mogelijk uitzetten.

[Reactie gewijzigd door GoldenBE op 22 juli 2024 18:32]

D-Three @GoldenBE10 maart 2017 19:58
Bron? Ik ben wel benieuwd naar meer info.
GoldenBE @D-Three11 maart 2017 00:43
Bron: Lees de AOSP source code maar na, je zult geen ingebouwde tracking vinden ;)
https://source.android.com
sxbrentxs @GoldenBE11 maart 2017 02:26
Ik wil niet vervelend zijn, maar... https://en.wikipedia.org/wiki/Android_(operating_system)
Android is a mobile operating system developed by Google [...]
En van uw bron: https://source.android.com/
Android is an open source software stack for a wide range of mobile devices and a corresponding open source project led by Google.
Dus als ze zouden willen pushen ze die tracking updates toch wel die er backdoor tracker in slipt lijkt mij. Misschien niet nu, maar zou mij niets verbazen mocht het er in ene in zitten.
Anoniem: 855731 @HansvDr10 maart 2017 18:50
Daar ga je zelf mee akkoord en is dus iets totaal anders dan waar het hier over gaat. Niemand verplicht je om Android te gebruiken.
HansvDr @Anoniem: 85573110 maart 2017 18:52
Zeg ik nergens. Maar de meerderheid heeft er geen idee van.

En ook niemand verplicht je om wifi te gebruiken.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq