Microsoft verzamelt locatiegegevens via Windows Phone 7-apparaten en via auto's die WiFi-signalen opvangen vanaf de publieke weg. Laatstgenoemde is vergelijkbaar met Google's StreetView-wagens, die niet alleen foto's maakten maar ook WiFi-verkeer opvingen.

Openbaar maken

De door Microsoft vergaarde WiFi-apparaten staan op basis van hun MAC-adressen compleet met locatiegegevens in een database op Microsofts website Live.com, meldt tech-nieuwssite Cnet. De data is daar openlijk toegankelijk, ook voor andere (web)applicaties via de API (application program interface) die Microsoft daarvoor biedt.

Deze onthulling is op basis van de bevindingen van een onderzoeker aan de Stanford-universiteit. De zogeheten GeoLocation API is volgens Microsoft bedoeld om betere zoekresultaten, weerinformatie, lokale bioscoopagenda's, en kaarten en routebeschrijvingen te leveren op basis van de locatie van de Live.com-bezoeker.

Black Hat

Stanford-onderzoeker Elie Bursztein vindt dat Microsoft dezelfde maatregelen zou moeten nemen als Google vorige maand heeft genomen. Burszstein heeft Microsofts API uitgebreid onderzocht. Hij presenteert zijn bevindingen deze week op de Black Hat-conferentie in Las Vegas.

Microsoft verzamelt de openbaar uitgezonden identificatienummers van antennemasten en ook de MAC-adressen van WiFi-access points (ook wel WiFi-routers genoemd). De softwarereus doet dat via apparaten van gebruikers zelf en via 'beheerd rondrijden', bevestigt Microsoft-manager Reid Kuhn tegenover Cnet.

"Als een gebruiker ervoor kiest om een smartphone of ander apparaat als WiFi-toegangspunt te gebruiken, kunnen hun MAC-adressen ook meegestuurd worden. Omdat mobiele apparaten zich meestal verplaatsen, zijn de MAC-adressen niet altijd nuttig. Als we merken dat een apparaat niet op een vaste plek is, verwijderen we het MAC-adres uit onze lijst."

Tethering

Het is op basis van zijn reactie onduidelijk of Microsoft alleen de apparaten die als toegangspunt dienen in zijn database stopt of ook de client-apparaten die verbonden zijn met die WiFi-routers. Google bleek eerder ook dat laatste te doen, volgens het bedrijf zelf gebeurde dat onbedoeld en ongeweten. Als Microsoft 'alleen maar' de data vergaart van WiFi-access points zou het nog gaan om miljoenen apparaten. In die oogst zitten namelijk ook smartphones en laptops die als WiFi-router worden ingezet. Steeds grotere groepen doen namelijk mensen aan tethering, waarbij een telefoon of tablet zijn verbinding - al dan niet 3G - via WiFi deelt met andere apparaten.

In Microsofts database staan ook locaties buiten de Verenigde Staten. Cnet heeft een reeks MAC-acressen getest van HTC-apparaten die door Live.com zijn gelinkt aan straten in Spanje, Engeland, Japan en Duitsland. Sommige WiFi-adressen bleken zich tijdens de tests bovendien te verplaatsen, waardoor de database is te gebruiken om personen te volgen.

Google privacymaatregelen

Google heeft enkele privacymaatregelen doorgevoerd. Één daarvan is het filteren van verzoeken om locatiegegevens. Om te weten te komen waar een bepaald apparaat is, moet je de locatie ervan al enigszins weten: binnen een straal van een paar straten. Bovendien bevat Google's database geen MAC-adressen van Android-apparaten die (via tethering) als draadloos toegangspunt dienen.

Vorige maand is nog gebleken dat Google's Street View-auto's niet alleen de locaties van WiFi-routers hebben opgeslagen. Daarover was het bedrijf in opspraak gekomen. Het is nu formeel bevestigd dat daarbij ook de locaties zijn meegenomen van de apparaten die de afgeluisterde draadloze netwerken gebruikten.

In opspraak

Google en Apple kwamen in april al in opspraak vanwege het opslaan van locatiegegevens in Android en iOS. Apple kwam met een fix voor de 'trackingbug' en slaat de gegevens nu nog maar zeven dagen op. De kwestie leidde onder meer tot hoorzittingen in het Amerikaanse parlement waar vertegenwoordigers van beide bedrijven op het matje werden geroepen. Ook lopen er rechtszaken en vroeg het Nederlandse ministerie van justitie aan privacytoezichthouder CBP om onderzoek te doen.

Bedrijven die locaties van gebruikers opslaan moeten eerst specifiek om toestemming vragen en een icoontje tonen als locaties worden gebruikt. Ook moet er een continue waarschuwing worden getoond, stelden de gezamenlijke nationale privacytoezichthouder in de EU in mei nog in een reeks aanbevelingen.