Track me if you can!

#Smart Engineering of Production Technologies and Processes (BA) #/Medien & Digitale Technologien #Studierenden-Projekt

Das Projekt beschäftigt sich mit der Nachverfolgung (Tracking) von alltäglichen Bluetooth-Geräten wie Smartphones oder Fitnesstrackern.

Beschreibung

Track me if you can! Bei diesem im Rahmen der Bachelorarbeit entstandenen Projekt geht es um Tracking oder noch genauer um das Thema Offline-Tracking via Bluetooth Low Energy (BLE).

„Viele moderne Geräte aus unserem täglichen Leben, wie zum Beispiel Smartphones oder Fitnesstracker, besitzen heutzutage Bluetooth für die kabellose Kommunikation mit anderen Geräten“, erklärt Christian Reichl. „Damit diese Geräte von Systemen in ihrer unmittelbaren Umgebung nicht ohne das Wissen ihrer Besitzer*innen nachverfolgt werden können, wurde Bluetooth bereits im Jahr 2010 um eine Schutzfunktion erweitert, die dies verhindern soll.“ 

Um die Problematik des unerlaubten Trackings zu verdeutlichen, hat Reichl einen Prototyp entwickelt, der dennoch in der Lage ist, moderne BLE-Geräte zu identifizieren und nachzuverfolgen. Um dies zu belegen, wurde mit dem Prototyp der Tagesablauf einer Testperson in einem Einpersonenhaushalt aufgezeichnet. Die Aufzeichnung erfolgte ausschließlich durch das Sammeln von frei verfügbaren Bluetooth-Daten von unterschiedlichen BLE-Geräten der Testperson.

Reichl: „Durch diese Arbeit konnte gezeigt werden, dass auch moderne BLE-Geräte trotz Schutzfunktionen anfällig für Offline-Tracking via Bluetooth sind. Es ist also nach wie vor möglich, Personen ohne deren Wissen und Zustimmung durch Bluetooth zu verfolgen und auf diese Weise ihre Privatsphäre zu verletzen.“

Umsetzung

Aufbauend auf einer Literaturrecherche zum Thema Tracking von Bluetooth-Geräten wurde der Prototyp entwickelt, der in der Lage ist, alltägliche Bluetooth-Geräte zu erkennen und Daten über diese aufzuzeichnen. Der entwickelte Prototyp besteht im Grunde aus mehreren Raspberry Pis (Clients), die so programmiert wurden, dass sie kontinuierlich nach diesen Datenpaketen scannen und so Informationen über in Reichweite befindliche Bluetooth-Geräte sammeln. Die gesammelten Informationen senden die Raspberry Pis dann an einen zentralen Server. Der Server wertet die Informationen aus und speichert sie in einer Datenbank. Weiters kann der Server den Eigentümer des Tracking-Systems via Instant-Messenger Dienst „Telegram“ über aktuelle Ereignisse informieren.

Schematische Darstellung des Prototyps.jpg

Der Prototyp kann neben dem Sammeln von Datenpakten auch den Leistungspegel messen, mit dem ein Datenpaket empfangen wurde. Bei diesem Leistungspegel handelt es sich um eine Verhältniszahl, deren Wert sich je nach Abstand zwischen Sender und Empfänger ändert. Dadurch kann zirka ermittelt werden, in welchem Umkreis sich ein Bluetooth-Gerät, dessen Daten empfangen wurden, befindet.

Für die Durchführung eines Test-Szenarios wurden sechs Raspberry Pis in einem zweistöckigen Wohnhaus verteilt. Sie repräsentierten durch ihre beschränkte Reichweite jeweils einen Bereich im Haus, wie zum Beispiel die Küche oder das Wohnzimmer. Durch die Nutzung unterschiedlicher alltäglicher Bluetooth-Geräte, wie zum Beispiel einer Bluetooth-Zahnbürste, einem Smart-TV oder einen Bluetooth-Blutdruckmesser konnten Daten über den Tagesablauf einer alleinstehenden Person gesammelt werden.

Ergebnisse

Der Tagesablauf einer Testperson in einem Einpersonenhaushalt konnte ausschließlich durch die Nutzung von alltäglichen Bluetooth-Geräten, wie zum Beispiel einem Fitnesstracker, Bluetooth-Schlüsselfinder oder einem Smartphone erfolgreich abgebildet werden. Das Tracking-System kann auch aufzeichnen, in welchen Bereichen des Hauses sich die Testperson mit dem Bluetooth-Gerät aufhält, wann sie den Ort im Haus wechselt und wann sie außer Haus ist.

Es wurde so programmiert, dass es auch Informationen über den Hersteller und den Gerätetyp eines in Reichweite befindlichen Bluetooth-Geräts auslesen kann. In Tabelle 1 sind beispielsweise die vom Prototyp empfangenen Informationen über Apple-Geräte zu sehen. Es handelt sich hierbei ausschließlich um Bluetooth-Daten, die ohne Authentifizierung und ohne das Wissen des Geräte-Besitzers abrufbar sind. Das jeweilige Apple-Gerät musste sich hierfür nur mit eingeschaltetem Bluetooth in Reichweite des entwickelten Tracking-Systems befinden.

Freiverfügbare Informationen von Apple-Geräte.jpg