Bereits Kunde? Jetzt einloggen.
Lesezeit ca. 9 Min.

PRIVATSPHÄRE SICHERN: Spione in Ihrem Haushalt?


Chip - epaper ⋅ Ausgabe 1/2020 vom 29.11.2019

Unterhaltungelektronik und Haushaltsgeräte sind zunehmend smart – und zwingend mit der Cloud verbunden. Wir zeigen, wie Sie derenDatenverkehr überprüfen und einschränken


VON CHRISTOPH SCHMIDT

Artikelbild für den Artikel "PRIVATSPHÄRE SICHERN: Spione in Ihrem Haushalt?" aus der Ausgabe 1/2020 von Chip. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: Chip, Ausgabe 1/2020

Smarte Lautsprecher wie Amazon Alexa oder Google Home haben weniger Rechenpower und Speicherplatz als ein Handy – und doch können sie komplexe Fragen beantworten und Aufgaben lösen. Möglich ist das, weil die eigentliche Arbeit in der Cloud stattfindet, weshalb die aufgezeichneten Sprachbefehle hochgeladen werden müssen. Doch kontaktiert der Smart Speaker auch außerhalb der kurzen Sprachbefehle seine Server? Und was ...

Weiterlesen
epaper-Einzelheft 3,99€
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von Chip. Alle Rechte vorbehalten.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 1/2020 von TREND > MAILBOX. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
TREND > MAILBOX
Titelbild der Ausgabe 1/2020 von TECHNIKNOSTALGIE: Alte Technik in Neuauflage. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
TECHNIKNOSTALGIE: Alte Technik in Neuauflage
Titelbild der Ausgabe 1/2020 von NEWS: Internet, rein russisch. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
NEWS: Internet, rein russisch
Titelbild der Ausgabe 1/2020 von BANKEN GEGEN FINTECH: Die vielleicht letzte Stunde der Banken. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
BANKEN GEGEN FINTECH: Die vielleicht letzte Stunde der Banken
Titelbild der Ausgabe 1/2020 von NEWS: Streaming startet durch. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
NEWS: Streaming startet durch
Titelbild der Ausgabe 1/2020 von ROBOTERFORSCHUNG: Wo uns künftig Roboter helfen. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
ROBOTERFORSCHUNG: Wo uns künftig Roboter helfen
Vorheriger Artikel
LERN – APPS: Programmieren lernen per App
aus dieser Ausgabe
Nächster Artikel POWERTOYS:Geniales Fensterhandling: Mehr Komfort und Tempo fü…
aus dieser Ausgabe

... ist mit anderen smarten Geräten wie dem Fernseher: Funkt auch er unerwünschte Informationen zum Hersteller und anderen Webdiensten? In beiden Fällen lautet die Antwort: ja. Doch Sie können die versendete Datenmenge zumindest reduzieren und den Kontakt mit offensichtlichen Werbetrackern verhindern, wie wir in diesem Artikel zeigen.

Dazu spionieren wir die spionageverdächtigen Geräte zunächst selbst aus, indem wir ihren WLAN-Datenverkehr aufzeichnen und analysieren. Um den Kontakt mit unerwünschten Servern zu unterbinden, nutzen wir das Projekt Pi-hole, das einen Raspberry Pi als lokalen DNS-Server einrichtet und damit Anfragen an bekannte Trackingserver ins Leere umleitet.

Eines vorab: Die Vorgehensweise ist aufwendig, das Identifizieren und Blockieren der unerwünschten Verbindungen ist mühselig und erzielte Fortschritte können von nur vorübergehender Dauer sein. Die pragmatische Lösung ist es, unsere Schnelltipps rechts zu befolgen und verdächtige Geräte außerhalb der Nutzungszeiten vom Stromnetz zu trennen.

Datenverkehr aufzeichen
Der Router kann prinzipiell den Traffic jedes Geräts aufzeichnen – wenn seine Benutzeroberfläche die entsprechende Option bietet. Bei FritzBoxen geht das grundsätzlich über die URL fritz.box/support.lua, wo Sie nach Eingabe Ihres Passworts den Link »Paketmitschnitte« anklicken. Bei unseren Tests mit einer FritzBox 6490 Cable mit FritzOS 7.12 ließ sich diese Seite zwar aufrufen, doch an keiner Schnittstelle ein Mitschnitt starten. Bei einer FritzBox 7590 klappte das. Dazu klickt man hinter der relevanten Schnittstelle auf »Start« (bei uns war das »WLAN AP … ath1«) und gibt einen Ablageort für die Aufzeichnung an, die dann auf dem Rechner gespeichert wird. Wichtig: Gestoppt wird sie über die »Stopp«-Taste in der FritzBox-Oberfläche – nicht, indem Sie den Download abbrechen. Die mit der FritzBox möglichen Aufzeichnungen ganzer Netzwerke sind unübersichtlich und müssen später gefiltert werden (siehe Seite 108).

WLAN-Schnüffelrouter im Eigenbau
Deswegen und um bessere Blockiermöglichkeiten zu bekommen, haben wir für unsere Versuche einen Raspberry Pi 3 zu einem (für den Alltag allerdings zu langsamen und zu wenig weitreichenden) WLAN-Router umfunktioniert und die Geräte damit verbunden. Die Software raspAP-webgui erledigt das relativ einfach, wie auf raspap.com/#quick-installer zu lesen ist. Auf der Kommandozeile dieses raspAP-Routers lässt sich ganz gezielt der Traffic eines einzelnen Clients mitschneiden.

Der Pi ist per LAN-Kabel mit dem „großen“ Router verbunden – in unserem Beispiel eine FritzBox – ebenso wie der PC, von dem aus wir arbeiten. Die raspAP-Weboberfläche ist dann über die IP-Adresse des RasPi erreichbar: http://192.168.178.25. Das auszuspionierende Smart Device verbinden wir mit dem WLAN des raspAP und ermitteln dessen IP-Adresse (aus dem Bereich 10.3.141.xx) auf der raspAP-Weboberfläche.

Dann loggen wir uns auf der Kommandozeile des raspAP ein und starten den Mitschnitt: „sudo tcpdump -i wlan0 -s 0 -w dateiname.cap host 10.3.141.22“. Nach „-w“ ist ein aussagekräftiger Dateiname mit der Endung „.cap“ einzutragen und nach „host“ die zuvor ermittelte IP-Adresse des Testgeräts. Wir haben das Gerät ein paar Minuten benutzt und dann die tcpdump-Aufzeichnung mittels [Strg] + [C] beendet. Die cap-Dateien haben wir mittels Filezilla („Server: sftp://192.168.178.25“, Benutzername und Passwort des Pi-Accounts) auf den PC überspielt, um sie dort mit dem Tool Wireshark (virtuelle CHIP-DVD) zu analysieren. Als erster Anhaltspunkt zeigt die Größe der Dateien, wie viel Netzwerktraffic es während der Aufzeichung insgesamt gab.

Mitschnitte analysieren mit Wireshark
Der Paketsniffer Wireshark hilft dabei, die kryptischen Netzwerkmitschnitte zu entziffern. Die cap-Dateien öffnet er durch einen Doppelklick und zeigt dann alle aufgezeichneten Netzwerkpakete untereinander an: Zeitstempel, Quelle, Ziel, Protokoll, Länge und eine Inhaltsinfo. Wichtig: Setzen Sie alle drei Haken unter »Ansicht | Namensauflösung«.

Für unsere Zwecke relevant ist das Menü »Statistiken« mit seinen Unterpunkten. »Eigenschaften …« zeigt Zeitpunkt und Dauer einer Aufzeichnung an. Sehr aufschlussreich ist hier der Punkt »Aufgelöste Adressen«. Er zeigt unter „# Hosts“ an, für wie viele verschiedene Server das Gerät DNS-Anfragen gestellt hat; darunter sind diese aufgelistet. Bei unserem Samsung-Fernseher waren das nach dem zehnminütigen Durchzappen von 37 TVSendern 240 verschiedene Server – darunter auch klare Trackingdienste wie ioam.de oder samsungacr.com. Einen großen Teil haben die Hbbtv-Server der Sender ausgemacht, die beim Wechsel zum Sender den mehr oder weniger dezenten Hbbtv-Hinweis einblenden – oder bildschirmfüllende Werbung. Wenn Sie den Mitschnitt lange laufen lassen, sehen Sie auch, ob das Gerät ohne Interaktion Daten verschickt.

Pakete mitschneiden per FritzBox

Einige FritzBoxen wie etwa die 7590 bieten eine Oberfläche für Paketmitschnitte an. Bei der 6490 Cable funktioniert das nicht

Öffnen Sie die URL http://fritz.box/support.lua und klicken Sie auf »Paketmitschnitte« 1 . Klicken Sie bei der entsprechenden Schnittstelle auf »Start« 2 , um das Sniffing zu starten

Quick-Tipps fürs Privatsphäre-Mindestmaß
Wer den Aufwand scheut, Tracker zu blocken, sollte diese Tipps beachten, um neugierige Geräte vom Heimnetz zu trennen

Decken Sie bei Smart-TVs Webcams und Mikrofone ab


Deaktivieren Sie in den Einstellungen des Geräts alle Optionen zur personalisierten Werbeeinblendung und Erkennung von Sprache


Aktivieren Sie in der FritzBox »WLAN | Gastzugang« und »Heimnetz | Netzwerk | … einstellungen | Gastzugang« und verbinden Sie Smart Devices mit einem Gastnetz


Paketmitschnitte durchleuchten

Allein mit den Netzwerkpaketen kann man wenig anfangen. Wireshark zeigt, was darin steckt

»Statistiken | Endpunkte« 1 listet die Server auf, mit denen das Gerät kommuniziert. »Datei | Objekte exportieren | HTTP« 2 zeigt alle unverschlüsselt übertragenen Dateien an und speichert sie

Netzwerktraffic genauer untersuchen

An welche Server die größten Datenmengen geschickt wurden, ermitteln Sie über »Statistiken | Endpunkte« und den Reiter »IPv4«. Aktivieren Sie unten die Option »Namensauflösung« und sortieren Sie die Liste absteigend nach »Rx Bytes«. Dann steht normalerweise das untersuchte Gerät ganz oben, weil es am meisten Daten empfangen hat. Darunter kommen dann die externen Server, die die meisten Daten erhalten haben (die Quelle kann hier nur das untersuchte Gerät sein). Beim Smart-TV während des Zappens waren das die Hbbtv-Server der Sender. Über einen Rechtsklick auf einen der Server, dann »Als Filter anwenden | Ausgewählt«, untersucht Wireshark die Paketliste im Hauptfenster nach diesem Server. Dort kann man wiederum über einen Rechtsklick und »Folgen | TCP Stream« die Konversation zusammensetzen lassen und bei unverschlüsselten Verbindungen ungefähr sehen, was übertragen wird: Oft sind das regelmäßige Meldungen, dass auf diesem Fernseher gerade dieser Sender läuft. Kleine GIFs und PNGs mit Bildschirminausschnitten können den Trackern verraten, welche Inhalte der Fernseher abspielt – unabhängig von der Wiedergabequelle. Klicken Sie auf »Datei | Objekte exportieren | HTTP …« und Sie sehen alle Dateien, die unverschlüsselt übertragen wurden. Diese können Sie alle oder einzeln zwecks genauer Analse speichern.

Tracker blocken

Die erschreckend hohe Zahl der Verbindungen und die großen Datenmengen wecken einerseits den den – andererseits wird klar, dass händisch erstellte Blockierlisten im Router aufgrund der schieren Menge an Servern illusorisch sind. Bleiben also zwei Möglichkeiten: Das Gerät ganz vom Internet trennen – auf dem Fernseher kann man YouTube, Netflix, Mediatheken etc. auch über einen PC/ein Notebook schauen oder über einen Raspberry Pi mit Kodi. Oder man filtert den Traffic des Geräts so gut es geht mittels Pi-hole (s. u.). Dessen vorgesehene Wirkungsweise ist, dass er vom Router als DNSServer im Heimnetz annonciert wird und sich die Clients auch daran halten. Deren DNS-Anfragen gleicht der Pi-hole mit seinen übers Internet aktuell gehaltenen Filterlisten ab und ersetzt dabei die IP-Adressen von Werbe- und Trackerservern mit 0.0.0.0: Dann schicken die Clients ihre Anfragen ins Datennirvana statt zu den Werbeservern.

Wireshark: Den Paketen auf der Spur

Die Software ist schon eher etwas für Nerds – ermöglicht aber interessante Einblicke in Struktur und Inhalte des Netzwerktraffics

Sowohl der Samsung-Fernseher als auch ein getesteter Google Home mini umgingen den Pi-hole, indem sie DNS-Anfragen direkt an die IP-Adresse 8.8.8.8 – Googles öffentlichen DNSServer – schickten. Den Samsung-Fernseher konnten wir überlisten, indem wir im raspAP-Router alle Pakete für den von DNS genutzten Port 53 an den Pi-hole umlenkten (s. u.). Tatsächlich reduzierte sich dadurch der Traffic während zehn Minuten TVzappen von fünf Megabyte auf 465 Kilobyte, und die Zahl der kontaktierten Server sank von 240 auf 34, wobei hauptsächlich Netflix und Content-Delivery-System-Server übrig blieben und keine ganz offensichtlichen Werbetracker. Auch die beim Zappen eingeblendeten Hbbtv-Werbungen verschwanden.

Der Google Home mini verweigerte dagegen die Verbindung zu dem WLAN mit Pi-hole-Zwang – außer zu Google, zu den genutzten Diensten und einem Akamai-CDN-Server baute er aber ohnehin keine weiteren Verbindungen auf.

redaktion@chip.de

Pi-hole in Aktion …

In der ersten Zeile fragt das Smart-TV nach der IP-Adresse eines »Automatic Content Recognition«-Servers von Samsung. In Zeile 2 liefert der raspAP-Router die Antwort vom Pi-hole: »0.0.0.0«

… und wird ausgehebelt
Bei diesem Mitschnitt war Pi-hole aktiv, doch der Fernseher sendet eine Anfrage direkt an Googles DNSServer »8.8.8.

Pi-hole installieren & nutzen Ein Tracking- und Werbeblocker für Ihr ganzes Heimnetz ist mittels eines beliebigen Raspberry Pi schnell aufgesetzt – auch ein alter RasPi 1 packt das gut.
> Als Raspbian-OS laden Sie die aktuelle „Lite“-Version mittels Noobs oder als Image von raspberrypi.org/downloads herunter und installieren Sie diese auf eine SD-Karte. Erstellen Sie in der FAT-Partition namens »boot« (wo u. a. die »config. txt« liegt) eine leere Textdatei namens »ssh« ohne Erweiterung. Booten Sie den RasPi damit und loggen Sie sich mittels Putty oder eines anderen SSH-Clients auf dem RasPi ein (Standard-Benutzer „pi“, Passwort „raspberry“).
> Die Pi-hole-Installation erfolgt mit: curl -sSL https://install.pi-hole.net | bash Als »Upstream DNS Server« wählen Sie »Custom« und tragen die IP-Adresse Ihres Haupt-Routers ein. Ansonsten bejahen Sie die Vorgaben.
> Im Router tragen Sie die IP-Adresse des Pi-hole als lokal zu verwendenden DNSServer ein: bei der FritzBox unter »Heimnetz | Netzwerk | Netzwerkeinstellungen | IPv4-Adressen | Lokaler DNS-Server:«. PCs, Mobil- und andere Netzwerkgeräte, die sich ab nun mit dem Heimnetz verbinden, senden ihre DNS an den Pi-hole. Dass ein Gerät tatsächlich den Pi-hole als DNSServer nutzt, erkennen Sie, wenn Sie auf ihm über die URL „pi.hole/admin“ auf die Pi-hole-Weboberfläche gelangen.
> Für Smart-TVs fügen Sie Pi-hole eine zusätzliche Blocklist hinzu, indem Sie auf der Weboberfläche auf »Login« klicken und das bei der Installation vergebene Passwort eingeben; dann klicken Sie »Settings | Blocklists«. Geben Sie in das Textfeld unter der Liste diese URL ein: „github.com/Perflyst/PiHoleBlock list/raw/master/SmartTV.txt“ und klicken Sie auf »Save and Update«.
> Achtung, dem raspAP-Router müssen Sie die Nutzung des Pi-hole beibringen: „sudo nano /etc/dhcpcd.conf“. Ändern Sie die letzte Zeile zu: static domain_name_servers=192.168.178.2 Hier darf nur die IP-Adresse des Pi-hole stehen, dann booten Sie mittels „sudo reboot“ neu. Um Geräte auszutricksen, die am Pi-hole vorbei den Google-DNS befragen wollen, führen Sie auf dem raspAP zwei Firewall-Regeln aus: „sudo iptables -t nat -A PREROUTING -i wlan0 -p udp ! -s 192.168.178.2 ! -d 192.168.178.2 --dport 53 -j DNAT --to 192.168.178.2“. Dann das Gleiche erneut, nur mit „-p tcp“ statt udp. Das leitet alle DNS-Anfragen („--dport 53“) zum Pi-hole um („--to …“) – außer denen, die direkt vom oder zum Pi-hole gehen („-s …/-d …“).
> Aktuell halten Sie den Pi-hole, indem Sie ein- bis zweimal im Monat diese beiden Befehlszeilen ausführen: sudo apt update && sudo apt -y upgrade pihole -up && pihole updateGravity

Pi-hole in Aktion …

In der ersten Zeile fragt das Smart-TV nach der IP-Adresse eines »Automatic Content Recognition«-Servers von Samsung. In Zeile 2 liefert der raspAP-Router die Antwort vom Pi-hole: »0.0.0.0«

… und wird ausgehebelt

Bei diesem Mitschnitt war Pi-hole aktiv, doch der Fernseher sendet eine Anfrage direkt an Googles DNSServer »8.8.8.8«

Pi-hole installieren & nutzen Ein Tracking- und Werbeblocker für Ihr ganzes Heimnetz ist mittels eines beliebigen Raspberry Pi schnell aufgesetzt – auch ein alter RasPi 1 packt das gut.
> Als Raspbian-OS laden Sie die aktuelle „Lite“-Version mittels Noobs oder als Image von raspberrypi.org/downloads herunter und installieren Sie diese auf eine SD-Karte. Erstellen Sie in der FAT-Partition namens »boot« (wo u. a. die »config. txt« liegt) eine leere Textdatei namens »ssh« ohne Erweiterung. Booten Sie den RasPi damit und loggen Sie sich mittels Putty oder eines anderen SSH-Clients auf dem RasPi ein (Standard-Benutzer „pi“, Passwort „raspberry“).
> Die Pi-hole-Installation erfolgt mit: curl -sSL install.pi-hole.net | bash Als »Upstream DNS Server« wählen Sie »Custom« und tragen die IP-Adresse Ihres Haupt-Routers ein. Ansonsten bejahen Sie die Vorgaben.
> Im Router tragen Sie die IP-Adresse des Pi-hole als lokal zu verwendenden DNSServer ein: bei der FritzBox unter »Heimnetz | Netzwerk | Netzwerkeinstellungen | IPv4-Adressen | Lokaler DNS-Server:«. PCs, Mobil- und andere Netzwerkgeräte, die sich ab nun mit dem Heimnetz verbinden, senden ihre DNS an den Pi-hole. Dass ein Gerät tatsächlich den Pi-hole als DNSServer nutzt, erkennen Sie, wenn Sie auf ihm über die URL „pi.hole/admin“ auf die Pi-hole-Weboberfläche gelangen.
> Für Smart-TVs fügen Sie Pi-hole eine zusätzliche Blocklist hinzu, indem Sie auf der Weboberfläche auf »Login« klicken und das bei der Installation vergebene Passwort eingeben; dann klicken Sie »Settings | Blocklists«. Geben Sie in das Textfeld unter der Liste diese URL ein: „github.com/Perflyst/PiHoleBlock list/raw/master/SmartTV.txt“ und klicken Sie auf »Save and Update«.
> Achtung, dem raspAP-Router müssen Sie die Nutzung des Pi-hole beibringen: „sudo nano /etc/dhcpcd.conf“. Ändern Sie die letzte Zeile zu: static domain_name_servers=192.168.178.2 Hier darf nur die IP-Adresse des Pi-hole stehen, dann booten Sie mittels „sudo reboot“ neu. Um Geräte auszutricksen, die am Pi-hole vorbei den Google-DNS befragen wollen, führen Sie auf dem raspAP zwei Firewall-Regeln aus: „sudo iptables -t nat -A PREROUTING -i wlan0 -p udp ! -s 192.168.178.2 ! -d 192.168.178.2 --dport 53 -j DNAT --to 192.168.178.2“. Dann das Gleiche erneut, nur mit „-p tcp“ statt udp. Das leitet alle DNS-Anfragen („--dport 53“) zum Pi-hole um („--to …“) – außer denen, die direkt vom oder zum Pi-hole gehen („-s …/-d …“).
> Aktuell halten Sie den Pi-hole, indem Sie ein- bis zweimal im Monat diese beiden Befehlszeilen ausführen: sudo apt update && sudo apt -y upgrade pihole -up && pihole updateGravity

Pi-holes Webinterface erreichen Sie unter pi.hole/admin


FOTOS: AMAZON (AUFM.); YULIYAP/GETTY IMAGES (RE.)