Adventure Lab vom Sofa aus?!

Seit den Anfängen der Lab Caches gab es immer Diskussionen über die Möglichkeiten die Suche zu „optimieren“. Schnell war die Rede von „Sofacachern“ die Haufen von Labs mit Lösungen die sie über die sozialen Medien bekommen hatten,  für ihre Statistik loggen. In Zeiten wo man Deutschland im mobilen Netzausbau als Entwicklungsland bezeichnen kann, war es so möglich, fern der zusammenbrechenden Handynetze, die Labs vom MEGA am Wochenende zu Hause nachzuloggen. Spätestens nachdem Groundspeak die eigene Adventure Lab App  herausgebracht hatte und dem damit verbundenen Rollout in die breite Fläche, gibt es Labs fürs Sofaloggen im Überfluß.

User von Iphone haben hier das Nachsehen. Die User von Android haben die Möglichkeit über die Entwickleroptionen Fake- bzw. Test-GPS Signale zu verarbeiten. Somit ist das „Teleportieren“ zu den Lab-Stationen weltweit möglich, um das Geofencing (Zone in der die Antworteingabe möglich ist) zu umgehen.

Es besteht die Möglichkeit, bei fast allen Apps die auf einem Android installiert sind, falsche Standorte zu verwenden. Wie man in die Entwickleroptionen kommt, ist auf jedem Handy unterschiedlich. An dieser Stelle eine Warnung. Die Aktivierung und permanente Verwendung von Entwickleroptionen bietet Angreifern ein großes offenes Tor Schadsoftware zu installieren. Einige Apps erkennen mittlerweile ob eine falsche GPS Koordinate verwendet wird. Das wohl bekanntes Beispiel für GPS basierte Spiele nach Geocaching ist Pokemon Go. Diese App funktioniert nicht mit falschen GPS Daten. User wurden deshalb schon gesperrt und gebannt.

Auch Groundspeak hat mittlerweile erkannt, dass solche Möglichkeiten der Manipulation bestehen und hat Gegenmaßnahmen ergriffen. Die Vermutung liegt nahe, dass zum Beispiel die Zeit zwischen den Antworten, zweier entfernter Stationen eines Labs, gemonitort werden und bei zu rascher Eingabe oder schneller Standortwechsel die Adventure Labs App misstrauisch wird. Oder Einstellungen im Betriebssystem ausgelesen werden. Eine Warnung auf dem Handybildschirm wird entsprechend ausgegeben. In den Nutzerbedingungen der Adventure Lab App findet sich kein direkter Passus zu Fake-Standorten. Da man aber grundsätzlich von einem „Designfehler“ sprechen kann, ist die Nutzung faktisch verboten und kann zur Sperrung oder Löschung des Accounts führen. daher die eindringliche Warnung. NICHT NACHMACHEN ! Auch wenn es derzeit möglich ist falsche Standortdaten zu verwenden und lediglich eine Warnung erscheint.

Solange die Möglichkeiten der Manipulation besteht, sollten Adventure Lab Besitzer eindeutige Antworten an ihren Stationen vermeiden. Fragen wie “ Was ist in diesem Gebäude?“ kann man leicht mit Google herausfinden, wenn die gesuchte Antwort „Post oder Kindergarten“ ist. Ebenso ist es keine Herausforderung eben mal alle Zahlen von 1 bis 100 einzugeben, wenn nach der Anzahl von Brettern, Bänke, Fenster oder anderen Sachen gefragt wird. Gleiches gilt für Geburtsdaten oder Baujahre. Also sucht euch etwas Eindeutiges in der Nähe. Etwas das möglichst leicht auffindbar ist, nicht zu große Schrift hat, um Google Streetview Bilder als Lösung auzuschließen und keine Zahl ist. Ich selber habe für eine Adventure Lab Runde getesten, wo die Besitzerin der Meinung war, dass man es nur vor Ort herausbekommen kann. Mit etwas Google Bildersuche, Wiki, Internetsuche auf Touristenportalen und Fleiß konnten alle 5 Stationen gelöst werden. Grüße gehen an dieser Stelle nach Kyritz an der Knatter raus. Aber der wichtigste Tipp überhaupt. Schreibt keinen Text oder Bilder mit der Lösung in den Tagebucheintrag der nach richtiger Eingabe der Antwort erscheint. Der Nutzer hat das doch gerade eingegeben!! Nutzer von gcutils.de/lab2gpx/ können sich auch die Tagebucheinträge incl. Bilder herunterladen. Eine direkte Einladung zum Schummeln….

Das Beispiel auf den Bildern zeigt das hier drei Lösungeswege möglich wären. Der schnellste Weg hier wäre sicherlich einfach die Zahlen eingeben oder im Listing nachgucken. Eine Lösung mit Google hat im Selbstversuch etwa 10 Minuten benötigt. Um Facebooklisten zu umgehen, einfach mal alle paar Monate an Stationen die Fragen und Antworten verändern.

Fazit: Schummeln ist nach wie vor möglich. Groundspeak hat erste Abwehrprozesse gestartet, wer allerdings das Risiko einer Sperrung eingeht nutzt es weiterhin. Jeder Lab Owner kann durch etwas Nachdenken einige Barrieren einbauen, die eine schnelle Lösung vom Sofa verhindern.

Hinweis: Dieser Beitrag zeigt nur Möglichkeiten auf und ist nicht als Aufruf zum Sofaloggen zu verstehen. Es wurde kein Tier gefährdet oder verletzt. Wer einen Tippfehler findet, darf ihn gerne behalten. Ich habe noch eineTüte voll hier bei mir stehen.
Viel Grüße Andreas / GrafZahl75