Datenschutz bei WLAN-Verbindungen
MAC-Adressrandomisierung
Apple-Plattformen verwenden eine nach dem Zufallsprinzip bestimmte MAC-Adresse (Media Access Control) für die Suche nach WLAN-Netzwerken, wenn sie keinem bestimmten WLAN-Netzwerk zugewiesen sind. Solche Suchen oder Scans können ausgeführt werden, um ein bekanntes WLAN-Netzwerk aufzufinden und eine Verbindung zu ihm herzustellen oder um Ortungsdienste für Apps zu unterstützen, die Geofencing nutzen – zum Beispiel für ortsbasierte Erinnerungen oder zum Fixieren eines Standorts in der Apple-App „Karten“. Zu beachten ist, dass WLAN-Scans, die beim Versuch erfolgen, die Verbindung zu einem bevorzugten WLAN herzustellen, nicht randomisiert sind. Die MAC-Adressrandomisierung für WLAN-Verbindungen steht auf dem iPhone 5 (oder neuer) zur Verfügung.
Apple verwendet eine randomisierte MAC-Adresse auch für ePNO-Scans (enhanced Preferred Network Offload), wenn ein Gerät nicht einem bestimmten WLAN zugewiesen ist oder sich der Prozessor im Ruhezustand befindet. ePNO-Scans werden durchgeführt, wenn ein Gerät die Ortungsdienste für Apps verwendet, die Geofencing nutzen – zum Beispiel für ortsbasierte Erinnerungen, die feststellen müssen, ob ein Gerät an einem bestimmten Ort ist.
Da sich die MAC-Adresse eines Geräts ändert, wenn die Verbindung zu einem WLAN getrennt wird, kann sie nicht dafür genutzt werden, per passiver Beobachtung des WLAN-Datenverkehrs ein Bewegungsprofil für ein Gerät zu erstellen, selbst wenn dieses mit dem Mobilfunknetz verbunden ist. Apple hat WLAN-Hersteller darüber informiert, dass in iOS oder iPadOS durchgeführte WLAN-Scans eine randomisierte MAC-Adresse verwenden und dass weder Apple noch der jeweilige Hersteller diese randomisierten MAC-Adressen vorhersehen kann.
Wenn in iOS 14 (oder neuer), iPadOS 14 (oder neuer) und watchOS 7 (oder neuer) iPhone-, iPad- oder Apple Watch-Geräte eine Verbindung zu einem WLAN herstellen, identifizieren sie sich mit individuellen (randomisierten) MAC-Adresse pro Netzwerk. Diese Funktion kann entweder vom Benutzer oder mittels einer neuen Option in der WLAN-Payload deaktiviert werden. Unter bestimmten Umständen greift das Gerät auf seine tatsächliche MAC-Adresse zurück.
Weitere Informationen enthält der Apple Support-Artikel Private WLAN-Adressen auf dem iPhone, iPad, iPod touch und der Apple Watch verwenden.
Randomisierung von WLAN-Frame-Sequenzen
WLAN-Frames haben eine fortlaufende Nummer, die vom Low-Level-Protokoll 802.11 verwendet wird, um für eine effiziente und verlässliche WLAN-Kommunikation zu sorgen. Da diese Folgenummer sich bei jedem weiteren übertragenen Frame erhöht, könnte sie genutzt werden, um Informationen, die im Zuge eines WLAN-Scans übermittelt werden, mit anderen Frames in Beziehung zu setzen, die von demselben Gerät übermittelt werden.
Um derartigen Versuchen vorzubeugen, randomisieren Apple-Geräte die Folgenummern, wann immer eine MAC-Adresse gegen eine neue randomisierte Adresse ausgetauscht wird. Dies betrifft auch die Randomisierung der Folgenummern für jede neue Scananfrage, die initiiert wird, solange das Gerät keinem WLAN zugewiesen ist. Diese Randomisierung wird von den folgenden Geräten unterstützt: WPA3 wird von den folgenden Geräten unterstützt:
iPhone 7 (oder neuer)
iPad 5. Generation (oder neuer)
Apple TV 4K (oder neuer)
Apple Watch Series 3 (oder neuer)
iMac Pro (Retina 5K, 27″, 2017) oder neuer
MacBook Pro (13″, 2018) oder neuer
MacBook Pro (15″, 2018) oder neuer
MacBook Air (Retina, 13″, 2018) oder neuer
Mac mini (2018) oder neuer
iMac (Retina 4K, 21,5″, 2019) oder neuer
iMac (Retina 5K, 27″, 2019) oder neuer
Mac Pro (2019) oder neuer
WLAN-Verbindungen
Apple generiert randomisierte MAC-Adressen für WLAN-Verbindungen auf Peer-to-Peer-Basis, die für AirDrop und AirPlay genutzt werden. Randomisierte Adressen werden auch für den persönlichen Hotspot unter iOS und iPadOS (bei eingesetzter SIM-Karte) und für die Freigabe im Internet unter macOS verwendet.
Bei jedem Starten dieser Netzwerkschnittstellen werden neue zufällige Adressen generiert und für jede Schnittstelle wird je nach Bedarf und unabhängig voneinander eine eindeutige Adresse generiert.
Versteckte Netzwerke
WLAN-Netzwerke werden anhand ihres Netzwerknamens identifiziert, der unter der Bezeichnung SSID (Service Set Identifier) bekannt ist. Einige WLAN-Netzwerke sind so konfiguriert, dass ihre SSID versteckt bleibt. Dies führt dazu, dass der Zugangspunkt den Namen des Netzwerks nicht mitteilt. Solche Netzwerke werden versteckte Netzwerke genannt. iPhone 6s und neuere Geräte erkennen automatisch, wenn ein Netzwerk „versteckt“ ist. Wenn ein Netzwerk versteckt ist, sendet das iOS- oder iPadOS-Gerät eine Anfrage, in die die SSID eingebettet ist – ansonsten geschieht dies nicht. Dadurch wird vermieden, dass das Gerät die Namen von zuvor versteckten Netzwerken mitteilt, mit denen ein Benutzer verbunden war, was wiederum den Datenschutz stärkt.