Apple, Google und die MAC-Adressen Randomisierung

Wir haben berichtet, dass mit dem Roll-out von iOS 14 – ab Mitte September eine Problematik auf alle Netzwerke zukommt, die die eindeutige MAC-Adresse eines Geräts zur Authentisierung verwenden. Es sah so aus als wäre MAC-Adressen Randomisierung alle 24 Stunden voreingestellt, und zwar nicht nur beim Scan, sondern auch nach dem Login. Darauf deuteten auch Mitte September noch alle Zeichen hin. Nun ist es doch anders gekommen, weswegen dieser Artikel ein Update erhält.

Zur Erinnerung: Bereits seit den frühen 2010ern gibt es die ersten Entwicklungen in diese Richtung. Tatsächlich führt die einzigartige MAC Adresse, die bereits bei der Herstellung eines netzwerkfähigen Geräts vergeben wird – vergleichbar etwa mit einem Nummernschild oder einer Seriennummer – zur Möglichkeit, das betreffende Gerät weltweit eindeutig zu identifizieren. In allen Ethernet-Netzwerken wäre es problematisch, wenn etwa eine Layer 2 – Geräteadresse doppelt vorkäme, und das ist mit diesem Verfahren eindeutig auszuschließen.

Was jedoch für den bestimmungsgemäßen Betrieb eines Netzwerks reibungsloses Funktionieren sicherstellt, kann – wie so vieles in der Technologie – ebenso für unlautere Zwecke verwendet werden. Ist etwa die MAC-Adresse eines bestimmten Systems bekannt, wäre es einem Angreifer möglich, Rückschlüsse auf den Nutzer und seine Aktivitäten zu ziehen und Daten zu sammeln, etwa nach in einem ganz bestimmten Zeitraum verschickten Datenpaket zu suchen und mit anderen Zeiträumen zu vergleichen.

Das Verschleiern der MAC-Adresse gilt daher als Feature für besseren Datenschutz und heißt bei Google „Datenschutz – Zufällige MAC-Adresse verwenden“ und am iPhone „Private Netzwerkadresse“, mit einer Erklärung, dass die Verwendung dieses Features Tracking verhindert.

Zwar ist diese Behauptung durchaus hinterfragenswert: Es gibt nicht nur noch ganz andere Trackingmethoden, sondern auch Wege, ein Smartphone zur Herausgabe der Geräte-MAC-Adresse zu zwingen, somit ist das Mehr an Sicherheit nicht überragend. Entsprechend haben sich beide Hersteller Gedanken darüber gemacht, den Nutzerkomfort nicht unverhältnismäßig zu beeinträchtigen. Ein Hotelgast etwa, der mit seinen persönlichen Daten im Gästeverzeichnis aufscheint, hat sicherlich mehr Komfort als Gefahr zu erwarten, wenn ein Netzwerkbetreiber von seiner Anwesenheit weiß. Er möchte sich vermutlich nicht täglich neu im WiFi anmelden. Dasselbe gilt wohl für Patienten in Kliniken, Schüler und Lehrer am Campus und Angestellte am Firmengelände, oder im eigenen Heimnetzwerk.

Entsprechend hat man sich bei Android dafür entschieden, die MAC-Adresse zwar zu verschleiern – also nicht die Geräte-Adresse anzuzeigen, die vorgespiegelte Adresse allerdings je Netzwerk-SSID beizubehalten. So geht man den Nutzerkomfort beeinträchtigenden Erfahrungen bei geringem Sicherheitsgewinn aus dem Weg.

Anders sah es vor dem Roll-out bei Apple aus. Man erwartete bereits, und offenbar gab es auch Beta-Versionen, wo es so aussah, dass alle 24 Stunden neu randomisiert wird. Es gab Statements, dass die Randomisierung angeblich für bereits gespeicherte Netzwerke nicht greifen soll. Somit waren alle gespannt, wie die iPhones ab Version 6, die alle diese aktive Voreinstellung erhalten, schlussendlich genau reagieren werden. Derzeit verhalten sich upgedatete Geräte wie Android und belassen die randomisierte Adresse je SSID gleich. Wir sind aber zumindest nicht schlecht beraten, uns darauf vorzubereiten, dass sich die Situation früher oder später doch noch ändert und iPhone-User sich jeden Tag neu einloggen müssen.

Auf Apple Supportseiten ist beschrieben, wie dieses Verhalten deaktiviert werden kann. So kann der User je gespeichertem Netzwerk entscheiden, ob dort eine randomisierte oder die echte MAC Adresse des Geräts verwendet werden soll: https://support.apple.com/de-de/HT211227.

Wer sich jetzt an die frühen 2010er Jahre erinnert fühlt, liegt nicht falsch. Bereits mit iOS 8 war das Thema MAC-Adressen Verschleierung in der Fachpresse präsent. Und auch der damals als „schöne neue Hotspot-Welt“ mit nahtloser Konnektivitäts-Erfahrung verkündete Hotspot 2.0 Standard der WiFi Alliance macht wieder von sich hören.

Hotspot 2.0 (HS2) / Passpoint als Standard der WiFi Alliance wurde und wird häufig als Lösung für nahtlose Konnektivität angepriesen, ist aber ursprünglich für Carrier/Mobilfunkanbieter erdacht und nicht für Betreiber, die ihren Kunden Mehrwert in Form von Gäste-WiFi bieten und einen Customer Touchpoint haben wollen. Der Usecase eines Gastes, der ohne regional gültigen Mobilfunkvertrag in ein Hotel kommt (wie der Fernreisegast) kam in den damaligen Szenarien gar nicht vor.

Außerdem funktioniert die Technik nur, wenn die Hardware sie auch unterstützt. Vor allem US-lastige Hersteller haben Passpointfähige Hardware im Programm, aber selbst die nicht immer durch die ganze Produktlinie, und so kann sich die Implementierung je nach Umgebung durchaus als schwierig erweisen: Access Points müssen dafür HS2 Passpoints sein, das heißt die Zertifizierung der WiFi Alliance erwerben oder erworben haben. Selbst bei namhaften Herstellern ist das oft nur zusammen mit dem WLAN-Controller gegeben. Auch Client-seitig erfordert die Technik Unterstützung, die ebenfalls bei derzeit gängigen Smartphones nicht flächendeckend an Bord ist.

Was bedeutet das für IACBOX Betreiber?

Da wir bei Asteas nur allzu gut wissen, wie unterschiedlich sich die Landschaft der IACBOX Betreiber da draußen im Feld darstellt, rüsten wir uns als Hersteller für alle Eventualitäten.

Die IACBOX wird also den Hotspot 2.0 Standard unterstützen, damit alle, bei denen es Sinn macht das Netzwerk danach einzurichten, auf ihr gewohntes Portal zählen können.

Vorsichtshalber werden wir die Informationen und den bereits vorbereiteten Pop-up Screen zwar deaktivieren, aber beibehalten. Schlussendlich wissen wir (noch) nicht, ob es mit diesem Feature nicht im einen oder anderen Fall doch zu Problemen kommt.

Was letztendlich zählt ist doch der Gast selbst, der sich mit den Einstellungen wohlfühlen und selbst entscheiden soll, welche Balance zwischen Nutzerkomfort und Privacy für ihn die richtige ist. Das sieht man bei Apple nun wohl auch so.