Tracking-Schutz in WLAN-Netzen
Neu in iOS 14: Auf Wunsch mit zufälliger MAC-Adresse
Die Verfügbarkeit des Support-Dokumentes #HT211227 („Verwendung privater Wi-Fi-Adressen in iOS 14, iPadOS 14 und watchOS 7“) ist ungewöhnlich. Zwei Monate vor der erwarteten Freigabe des nächsten Mobil-Betriebssystems geht Apples offizielles Hilfe-Portal bereits detailliert auf eine neue Netzwerk-Funktion ein.
Diese beschreibt Apple kurz als „Verwendung privater Wi-Fi-Adressen“ meint damit aber den Einsatz zufälliger Mac-Adressen. Statt die eindeutigen Kennziffer der Netzwerk-Komponenten zur Identifikation in WLAn-Netzen einsetzen, können iOS 14, iPadOS 14 und watchOS 7 hier auf eine zufällige Adresse setzen, die in regelmäßigen Abständen neu ausgewürfelt wird.
Das Feature verhindert das Tracken individueller Anwender in freien WLAN-Netzen, wie etwa im Einzelhandel. Der Lebensmittel-Discounter LIDL hatte erst Anfang Juni angekündigt, fortan den zusätzlichen Service „LidlPlusWLAN“ in allen Filialen anbieten. Über diesen sollen sichKunden kostenlos mit dem Internet verbinden um anschließend etwa Zutaten eines Rezepts oder die Herkunft eines Produkts zu recherchieren.
Wer hier auf Nummer Sicher setzen will, kann in iOS 14 die iPhone-Einstellungen besuchen und die zufällige MAC-Adresse per Schiebeschalter aktiviere.
Allerdings kann die Datenschutz-Funktion auch zu Fehlfunktionen im Heimnetzwerk führen, etwa wenn dieses die MAC-Adressen einzelner Geräte zum Zuweisen fixer IP-Adressen oder zur Identifikation anwesender Bewohner nutzt.
Glücklicherweise hat Apple vorgesehen, die neue Funktion in Abhängigkeit vom verbundenen WLAN-Netzwerk zu aktivieren bzw. auszuschalten. Ist die Vergabe zufälliger MAC-Adressen reaktiviert, macht iOS 14 darauf sogar mit einer Datenschutzwarnung in den WLAN-Einstellungen aufmerksam.
Apple selbst erklärt die Funktionsweise des neuen Features in dem kürzlich veröffentlichten Hilfe-Dokument #HT211227:
Um mit einem Wi-Fi-Netzwerk zu kommunizieren, muss sich ein Gerät gegenüber dem Netzwerk mit einer eindeutigen Netzwerkadresse identifizieren, die als Media Access Control (MAC)-Adresse bezeichnet wird. Wenn das Gerät immer dieselbe Wi-Fi-MAC-Adresse verwendet, können Netzwerkbetreiber und andere Netzwerkbeobachter diese Adresse leichter mit der Netzwerkaktivität und dem Standort des Geräts im Laufe der Zeit in Verbindung bringen. Dies ermöglicht eine Art Benutzer-Tracking oder -Profiling, und es gilt für alle Geräte in allen Wi-Fi-Netzwerken.
Um dieses Datenschutzrisiko zu verringern, enthalten iOS 14, iPadOS 14 und watchOS 7 eine Funktion, die die MAC-Adresse, die Ihr Gerät verwendet, periodisch mit jedem Wi-Fi-Netzwerk ändert. Diese zufällige MAC-Adresse ist die private Wi-Fi-Adresse Ihres Geräts für dieses Netzwerk, bis es das nächste Mal mit einer anderen Adresse verbunden wird.
In den Grundeinstellungen ist die Option derzeit noch abgewählt.
Schönes Feature für unterwegs. Wenn aber das WLAN einen MAC-Adressen Filter hat wie ich bei der Fritz!Box, fliegt das Gerät jedes mal raus beim Wechsel. Also im heimischen WLAN in dem Fall unbedingt deaktivieren.
mich würde ja auch brennend interessieren, ob sich WatchOS 7 auf einer Apple Watch 5 endlich mit WPA 3 verbinden kann!?
iPhone X kann es seit iOS 13 ….
iPad mini 4 nimmt leider mit 13 noch WPA 2 :-/
WPA 3 ist ein reines Software Feature. Alle Modelle die iOS 13 unterstützen können das.
Einfach mit den Mini neu verbinden.
hab schon das mini 4 neu verbunden, aber es bleibt an der Fritte mit aktueller 7.20 auf WPA 3!
Da das Pro 11 sich ja auch mit WPA 3 verbindet, kann es ja nur eine Reglementierung von Apple sein …?
mini 4 bleibt natürlich auf WPA 2
Wer nutzt denn noch die unsinnige Art von Mac Filter?
Ist ja wie SSID verbergen
MAC Filter ist schon bisschen praktisch, wenn man viele Geraete hat und einfach ne Uebersicht haben will, was sich wie verbindet. Man kann sich vor eigenen Konfigurations-Fehlern schuetzen. Bei gezielten Angriffen natuerlich eher nutzlos, aber mit der Erwartungshaltung sollte man halt nicht rangehen.
Mac Filter kannst du getrost auslassen. Hacker oder Fremdnutzer lassen sich damit gar nicht abhalten.
Siehe auch:
https://www.elektronik-kompendium.de/sites/net/1403011.htm
Ich bin jetzt auch nicht gerade ein Fan von Mac Filtern, aber die Begründung auf dieser Website ist aber auch eher dünn..
klar wenn ich das Passwort habe kann ich auch die MAC herausfinden..
aber her-je: wenn ich das Passwort habe kann ich alles rausfinden und brauche ich zu 98% die MAC Adresse nicht mehr!
es sei denn ich will genau dieses Gerät vorgaukeln.. in der Regel will man ja wohl eher unbemerkt den Netzverkehr mitlesen (passiv)
Was da übrigens Apple vor hat ist übrigens „illegal“ laut RFC müssen Mac Adressen ein-ein-deutig (kein verschreiber) und müssen fest vergeben und unveränderbar (in der Regel HARD codiert im Chip) sein..
aber Standards sind wohl scheinbar dafür da um sie zu ignorieren.
Das hat mich auch gewundert…
Illegal? Lol. Kommt da die bnetzA und legt dein iPhone still und dich in Ketten?
Apple hat selbst Engineers in eben diesen Gremien sitzen, die die Standards machen. Du kannst Gift drauf nehmen, dass sie nicht mac Adressen anderer Hersteller annehmen und randommässig Störungen in Layer 2 Netzwerken verursachen. Und falls sie doch wirklich komplett random sich Adressen würfeln über alle 48bit, wird es einen Standard geben um eine doublicate mac Adresse zu erkennen.
Totaler Blödsinn was da im EK geschrieben steht. Das setzt voraus, dass der Angreifer eine für dieses Netzwerk authentifizierte MAC kennt. Es wäre mir neu, dass man die Information, mit welchem W-LAN-Netzwerk ein Client verbunden ist, einfach abgreifen kann. Es sei denn, man kann das anhand der Verfügbarkeit bzw. der Anzahl ableiten.
@conectas: Wo steht denn, dass es illegal ist sich nicht an bestimmte Vorgaben bestimmter Standards zu halten? Das kann wohl kaum pauschalisiert werden.
Unter Windows ist es seit jeher möglich die MAC-Adresse eines Gerätes ohne großen Aufwand zu ändern; das notwendige Fachwissen vorausgesetzt.
Mac-Adresse im WLAN geblockt? iOS 14 und los geht’s. xD
Bei mir sind genau deshalb alle Geräte mit unbekannter Mac-Adresse erstmal geblockt.
Bei dir daheim, ja. Es geht hier sicherlich eher darum, in öffentlichen Netzen anonym zu bleiben oder anonymer zu sein
Das bringt dir überhaupt nichts. Wenn die Mauer (Verschlüsselung) erst einmal überwunden ist, hält ein Stolperstein (MAC-Filter) den Angreifer auch nicht mehr von deinem Netzwerk ab. Mal ganz davon abgesehen, kann jedes Scriptkiddy sehen, welches Gerät mit seiner MAC-Adresse mit welchem WLAN-Netzwerk verbunden ist. Und eine MAC-Adresse zu spoofen ist, wie Apple mit iOS 14 beweist, ein Kinderspiel.
BenBo17 meint zum Beispiel Filter im heimischen Router, die zum Beispiel Geräten von Kindern nur eine bestimmte Online-zeit zugestehen, oder für diese bestimmte Webseiten blocken.
Das ginge ja dann nicht mehr, wenn der Router diese Geräte nicht mehr erkennen könnte. So cool also das Feature ist in öffentlichen WLANs, so problematisch ist es eventuell daheim.
Wieso sollte man Zuhause die Mac-Adresse ständig ändern wollen?
Genau
@Nimo: weil die Kids schnell rausbekommen, dass sie damit Limitierungen umgehen können :-)
@Kai
Sehe ich genauso.
Hinzufügen würde ich nur das die/eine MAC Adresse kein Sicherheits Merkmal ist oder war.
Sich aber natürlich zum trecken eignet.
@MacManus… das Device der Kinder hat doch sicher einen Namen unter ‚Info‘ hinterlegt. Dieser Name taucht zu mindestens bei meiner FritzBox auf und damit kann ich agieren. Und wenn sich die Mac-Adresse ändert, sollte doch der ‚Name‘ mit/unter der neuen Adresse wieder auftauchen und somit dürfte es keine Probleme geben mit den eingestellten ‚Online‘-Zeiten. Möglich, das der Name dann mehrmals auftaucht bei jeder Adressen-Änderung. Dann wird es natürlich Mist.
@ Halber: leider nein, ich hab’s nochmal gerade ausprobiert: das Umbenennen eines Geräts lässt es nicht aus dem Kinderfilter entkommen – die Identifikation erfolgt (auch wenn die Fritzbox-Oberfläche nur den Gerätenamen zeigt) über die Mac-Adresse.
Daher ist das Feature tatsächlich eine Umgehungsmöglichkeit solcher Filter.
@MacManux… gut zu wissen. Danke für die Info.
Naja als Kind würde ich mir mein Internet auch nicht zensieren lassen wollen. Und wenn eure Kinder technisch bereits so fit sind, dass sie wissen das man mit einer Mac Änderung den Fritzbox Filter und die Einschränkungen umgehen kann, haben sie sich den freien Zugang zum Netz auch redlich verdient :)
Alternativ gibt es doch immer noch die Bildschirmzeit.
Ach was ich damals alles gemacht habe mit dem Router nur um wieder ins Internet zu kommen. Zumal ganz ohne spuren :) mein Vater war immer wieder verblüfft und hat nicht rausbekommen wie ich es gemacht hab :)
Wenn aber nur bestimmte MACs im Heimnetzwerk zugelassen sind, schmeissen sich die Kids zur Umgehung der Onlinezeitbeschrönkung selbst aus dem Netzwerk.
Ergo: funktioniert daheim. Nur nicht als Zugangsschutz für versiertere Benutzer. Gehört schon einiges dazu und geht nicht so einfach mit ner xbox und smartphone.
Coole Sache.
Das ist ja mal cool!!
Und ich habe mich schon gewundert, was das soll…
Was mich nur wundert. Mitunter kann es vorkommen, dass ich im WLAN bin, aber LTE oben angezeigt wird.
Das ist sicherlich mur ein Bug.
Danke für die Info! :-)
Das Problem habe ich auch ständig jedoch nur wenn ich Facetime verwende. Man merkt, dass man aus dem WLAN angeblich rausfliegt, da die Bild-Qualität des Gegenübers sehr schlecht wird. Oben in der Statusleiste wird dann nur noch LET angezeigt, in den WLAN Einstellungen jedoch als „verbunden“.
Könnte das vielleicht an der Einstellung liegen, dass das iPhone die schnellste/beste Verbindung nutzen soll?!?
Wenn das WLAN dann zu langsam ist, besteht zwar die Verbindung, aber es wird trotzdem LTE genutzt (wenn ihr das denn so eingestellt habt).
Obiges ist nur meine spontane Vermutung. Wer’s wirklich weiß, darf gerne seinen Senf dazugeben…
Nein so ist es nicht. Ist tatsächlich ein Bug der seit der ersten Version von iOS 13 vorhanden ist.
Ein Betriebssystem ganz nach meinem Geschmack! :D
Freu mich schon!
Könnte es dann nicht passieren, dass in einem WLAN zwei Geräte dieselbe MAC-Adresse verwenden (wollen). Wie funktioniert das technisch, solch eine Situation zu vermeiden. Bin nicht ausreichend Experte.
Theoretisch ja, aber die Zahlenraum ist ausreichend groß um eine Kollision weitestgehend zu vermeiden. Sollte es trotzdem passieren, ist das auf unterer Netzwerkebene geregelt und die Clients generieren sich eine neue Adresse
Technisch gesehen könnte es durchaus passieren. Praktisch aber aufgrund der Masse an Möglichkeit nun sehr unwahrscheinlich. Wenn man mal den Vendorteil mit reinpackt und die 2 Bits für vorbelegte Funktionen einsetzt, dann ist es trotdzem rund 1:1 x 10^12, dass zufällig die gleiche Kombination sich ergibt.
Klasse, dann können die Kids bei den FritzBoxen immer aus Ihrem Profil raus …
Entweder umgehen die damit die AVM Kontrolle (Profil wird nach MAC festgelegt) oder man sperrt gleich alles komplett und muss die Bagage immer wieder freischalten …
Wahrscheinlich lasse ich es dann so, damit sie es lernen, es in Ruhe zu lassen :-D …
Hoffe das wird standardmäßig nicht aktiviert wie in der Beta. Das würde mein Firmenwlan mit täglich über 100 Geräten ganz schön durcheinander würfeln.
Hoffe man kann es in den Firmeneinstellungen deaktivieren, dass der Anwender das dann auch nicht wieder reaktivieren kann!
Warum würde das dein Firmen-WLAN durcheinanderwürfeln? Kannst du mir das bitte erklären. Ob ein Gerät bei jedem Verbinden eine andere MAC hat oder sie gleiche sollte doch keinen Unterschied machen.
Zum Beispiel:
* Userverwaltung auf so einem Gerät, wenn sich mehrere ein solches teilen (ja, geht über Schuleinstellungen etc.)
* Sicherheitseinstellungen, die vom Standard abweichen (z.B. Erlaubnis für ein bestimmtes Zerfikat für VPN Nutzung)
* Lizenzabrechnung für zentral verwaltete Software
* WLAN Zugriffe für bestimmte User mit bestimmter Hardware
* Geräteverwaltung (Person A hat folgende Geräte zugeordnet), die dann entsprechend verrechnet werden (Netzwerkzugriff, Internetzugriff, …)
Ab einer bestimmten Betriebsgröße – eher Verwaltungsgsgröße sind solche Dinger absolut notwendig und können mit Tools wie Intune oder MDM verwaltet und gesteuert werden.
Deshalb bekomm ich jeden Tag ne email von meiner fritzbox das sich mein iPhone erstmalig angemeldet hat.
Hehe, dann hört das auch endlich auf „2h kostenloses WLAN nutzen“
Wozu die zeitliche Beschränkung immer, bei bspw. grossen Shopping-Malls?!
Weil die Leute ohne Datenflat dann dauerhaft dort abhängen ohne einzukaufen.
McDonalds-Camper wird’s freuen ;)
Als ich kurzzeitig ein Google Pixel verwendet hatte, habe ich mich über diese Funktion durchaus gefreut. Ebenso über das nativ integrierte DNS over HTTPS/TLS, was nun endlich auch bei iOS 14 Einzug hält. Nun benötigt man bald keine dedizierte „VPN“-App mehr um einen sicheren und eigenen DNS systemweit festlegen zu können. Hat für ein angeblich privacy-fokussiertes Betriebssystem zu lange gedauert, aber besser spät als nie.
Leider kein DoT für Mobilfunk. Wäre da viel wichtiger, es ändern zu können.
Ich meine gelesen zu haben, dass man DoT ab iOS 14 global setzen kann, unabhängig von der Art der Netzwerkverbindung. Entweder mit manueller Konfiguration oder die Apps erhalten eine Möglichkeit, die Konfiguration für den User zu schreiben (beides ist möglich).
Bringt rein gar nichts, so lange jedes Gerät trotzdem eine (sehr individuelle) WLAN-Namensabfrage zur Suche der ihm bekannten WLANs in die Welt rausschreit. Diese Liste ist pro Gerät fast so gut wie ein Fingerabdruck und ist ideal, um ein und die selbe Person wiederkehrend zu identifizieren. Da ist die MAC die fragt Wurscht.
Daher vermisse ich die Möglichkeit die nicht mehr benötigten wlan Netze zu löschen. Verstehe nicht warum das Apple nicht zulässt.
Trotzdem finde ich die Möglichkeit gut die MAC Adresse durcheinander zu Würfeln.
Selbst nach dem löschen der nicht mehr benötigten WLANs ist der Fingerprint deiner WLAN Liste immer noch recht einmalig.
Sebo
Hilft aber nix das sich da trotzdem dutzende datenleichen verbergen
Man kann nicht mehr benötigte WLAN-Netze, wenn man nicht mehr in deren Reichweite ist, entweder durch einen Reset der iCloud Keychain oder mit einem Mac durch das Editieren derselbigen durchaus entfernen.
Wie lösen die Hotels das damit verbundene Problem mit den WLAN.
Oder in sämtlichen Restaurants darf man pro MAC Adresse x Stunden surfen???
Dann haben die halt Pech :D für und IOS Nutzer ein Vorteil da sie sonst die Regel für alle entfernen müssen und das passiert nicht :D
Wie geil. Apple meint es ernst
Wundert mich das Apple das macht/darf. Soll die MAC nicht eigentlich eindeutig und unveränderbar sein? Find’s aber super….Als User hat man dadurch nur Vorteile.
Das gibt es bei Android schon seit 1-2 Jahren und Android ist deutlich häufiger anzutreffen. Scheint also kein Problem zu erzeugen. Bei Pixel ist das sogar standardmäßig eingestellt.
Schön wäre mal eine dauerhafte VPN Verbindung zur FritzBox.
Wozu? Einfach nen Raspberry mit OpenVPN-Server einrichten, und schon hat man eine permanente VPN-Verbindung ins Heimnetz.
Mit der App Passepartout kann man das ganze dann sogar so automatisieren, dass sich die VPN-Verbindung automatisch aufbaut, sobald die Verbindung zum heimischen WLAN-Netz getrennt wird.
Wozu extra Dinge kaufen, wenn vorhanden?
Weil die schon vorhandenen Dinge ja ganz offensichtlich nicht so funktionierten, wie du das gerne hättest?
Die Frage hättest du dir auch selbst beantworten können ;-)
Das checke ich mal, auch wenn die FritzBox ihren Dienst gut verrichtet (siehe Flo’s Link), benötigt man evtl. auch mal eine Alternative. Merci.
https://www.iphone-ticker.de/vpn-anleitung-iphone-fritzbox-und-vpn-on-demand-97462/
Schon mal die Warnung an alle Besitzer eines Routers der Telekom.
Nicht wundern, wenn plötzlich keine Daten über WLAN übertragen werden, könnte daran liegen, dass der DHCP-Range komplett belegt ist, weil die Clowns bei der Telekom die Leas-Time in ihren Routern default auf 2 Wochen eingestellt haben.
250 IPs / 14 Tage = 18 Neuverbindungen pro Tag. Ausserdem musst du das aktiv einschalten für ein Netzwerk.
Aber erstmal verbinden und eigene MAC senden? Dann Schutz aktivieren um beim nächsten mal eine Zufällige zu nutzen.
Grössere Firmen oder Geheimdienste mit Zugriff auf viele WLANs können dich dann beim erstmaligen Einloggen Tracken, wo du dich aufhältst.
Aber ein guter Start mit der Funktion
Komisch, egal ob ich es im iPhone ein oder ausschalte, es ändert sich ständig die DHCP- Adresse…
Auch das iPhone (iP 7 iOS 14 4. Beta) neu starten bringt nichts…