Einem Bekannten habe ich damit geholfen, sein Heimnetzwerk zu aufzubauen und helfe ihm bis heute dabei, es zu betreiben.
Vor einigen Wochen meldete sich der Bekannte bei mir und erzählte mir davon, wie er gerade einen Besuch von einem Mitarbeiter der Kantar Media Switzerland GmbH erhalten hatte.
Medienkonsum messen
Mein Bekannter hat sich seit längerem dazu bereit erklärt, für eine kleine Entschädigung eine Box des Unternehmens bei ihm in der Stube zu installieren, welche die gerade konsumierten Radio- und TV-Sendungen erkennt und diese an das Unternehmen zurückmeldet.
Ich vermute dies erfolgt mittels Fingerprinting des Audiosignals von Radio- und TV-Sendungen zusammen mit einem exakten Timing-Signal, in etwa vergleichbar mit der iPhone-App Shazam, welche einem sagt, wie das Lied heisst, welches man gerade im Radio oder in der Disco hört.
Ich mag mich diesbezüglich an Vorlesungen in meinem Studium der Medienwissenschaften erinnern, in welchen Matthias Friedrich Steinmann jeweils erzählte, wie er selber eine solche Firma aufgebaut und zum internationalen Erfolg geführt hatte. Abnehmer der von ihn erhobenen Daten waren die Radio- und Fernsehsender sowie die Werbeindustrie. Anhand der Zuhörer- und Zuschauerzahlen und deren Demographie konnte man den Preis für Werbeminuten berechnen und den beworbenen Unternehmen vorrechnen, wie viele Leute mit einer Werbung potentiell erreicht werden konnten.
Das unsichtbare Streaming
Beim letzten Besuch brachte der Kantar-Mitarbeiter ein neues, zusätzliches Kästchen mit. Auf Grund der digitalen Revolution konsumieren immer mehr Leute Streaming-Angebote über das Internet. Das neue Kästchen wird deshalb an das Netzwerk gehängt und erkennt, wenn im Haushalt Streaming-Angebote konsumiert werden und meldet Informationen dazu an das Unternehmen zurück. Dies ergänzt das bisherige Kästchen, welches den „konventionellen“ Radio- und TV-Konsum überwacht.
MITM Black Box?
„Spannend!“, dachte der Information Security Professional in mir. Und irgendwie war mir da schon bewusst, dass da etwas nicht ganz koscher sein konnte: Da kann meiner bescheidenen Meinung nach nur Packet Capturing zum Einsatz kommen, welches den gesamten ausgehenden Internet-Verkehr mitschneidet, in Echtzeit analysiert und aus den Paketen die URLs herausfiltert, welche auf den Konsum von Streaming-Angebote hindeuten. Diese Informationen werden per Internet in Echtzeit an Server des Unternehmens übermittelt, dort gespeichert und zu verkaufbaren Auswertungen verwurstelt. Wie das aber mit verschlüsseltem Verkehr (HTTPS) funktionieren soll, ist mir bis heute unklar (SNI?).
Hier ein Photo des ominösen Kästchens mit der Aufschrift „Kantar Media UK Ltd“, „Made in England“, „Model 5010-001“ einer Seriennummer sowie „CAN ICES-3 (B)/NMB-3(B)“:
Als ich dieses Gerät sah, war ich verwirrt: Ich hätte erwartet, dass es einen Ethernet-Eingang sowie einen Ethernet-Ausgang aufweist und zwischen den Router und das restliche Netzwerk gepatcht wird. Wie auf dem Photo sichtbar verfügt das Kästchen aber nur über einen Ethernetport.
IP-Konflikt
Ein Blick in das Log von arpwatch zeigte mir dann das Übel: Das Kästchen war mit der internen, nicht-öffentlichen IP-Adresse des Routers konfiguriert worden. Das arpwatch-Log war dementsprechend voll mit flip flops, sozusagen ein Abbild des Kampfes des EdgeRouters mit dem Kästchen über die Vorherrschaft der nun doppelt vorhandenen IP, die von zwei unterschiedlichen MAC-Adressen beansprucht wurde.
Ein Kollege vermutet, dass wenn das Kästchen genug lange im Netzwerk aktiv gewesen wäre, schlussendlich alle Clients das Kästchen als Gateway angesprochen hätten. Das Kästchen wiederum hätte den Verkehr dann über den echten Router ins Internet gelotst.
Zwischenfazit
Für mich war der Fall klar: Die MAC-Adresse des Geräts wurde im UniFi-Controller kurzerhand geblockt, und der Block ist bis heute aktiv.
Ich befürchte, dass diese Black Box in Haushalten von hunderten Familien in der Schweiz installiert ist und schön brav den gesamten Internet-Traffic der „Kunden“ mitschneidet.
Vermutlich sind sich die wenigsten Leute über die Sicherheits- und Datenschutzimplikationen im Klaren, auf welche sie sich mit der Installation dieses Trojaners eingelassen haben.
Vielleicht habe ich einfach eine zu blühende Phantasie und alles ist extrem simpel aufgebaut — die Logik im Kästchen schaut nur die Ziel-IP-Adressen an, und vielleicht noch die übertragene Datenmenge. Fertig. Damit lassen sich aber nur Aussagen machen wie „Mario Aeby, männlich, 39, verheiratet, wohnhaft in Bern in einem Zweipersonenhaushalt, Haushaltseinkommen 50’000 Franken, konsumiert an Abenden und Wochenenden zwischen 30 und 60 Minuten Amazon Prime, Netflix oder Apple TV“. Ob das dem Unternehmen reicht?
Läuft mit der Datensammlung aber etwas schief (absichtlich oder unabsichtlich), werden DNS-Queries mitgeschnitten und Firmware-Updates auf das Gerät gepusht, welche dann ein deutlich gläsernes Bild von mir zeichnen könnten. Mit nicht viel Aufwand könnte das Kästchen sogar verhindern, dass ich bestimmte Adressen ansurfen kann. So etwa wie es China seit Jahren mit dem Internetkonsum seiner Bevölkerung macht.
Und ja, vermutlich könnte ein Techniker im Fernwartungsmodus problemlos das LAN auskundschaften gehen, in welchem sich das Kästchen befindet.
Nachtrag
Höchstwahrscheinlich handelt es sich bei diesem Gerät um den Kantar Focal Meter. Das Unternehmen berichtet diesbezüglich:
Kantar’s Focal Meter collects data by intercepting web traffic from all devices connected to the home router, preserving respondent privacy by only reporting data from a specified list of BVOD and other online video sites.
Quelle: BARB commissions Kantar Focal Meter for deployment across UK Television Audience Measurement Panel
Mit einer Google-Suche stösst man dann auch auf ein Web Learning-Angebot, welches vermutlich nur für Kantar-Mitarbeiter gedacht ist. Die Homepage ist aber für jedermann frei zugänglich und zeigt neben einem Photos des Geräts auch ein interessantes Schema, bei welchem es sich aber nicht um den Aufbau des Focal Meters handelt, sondern des Virtual Meters (einer Software, die auf den Computern der Teilnehmer installiert wird).