Elie Bursztein von der Stanford University hatte im einem Blog-Eintrag berichtet, wie er über die Geolocation API die Standorte von mobilen Windows-Rechnern und Smartphones nachverfolgen konnte. Microsoft betreibt eine Datenbank, in der Mac-Adresse, jeweilige Empfangsstärke und verwendete Standards zahlreicher Access Points gespeichert sind. Wer mit einem Windows-Phone-7-Handy herausfinden will, wo er gerade ist, lässt das Gerät alle verfügbaren WLAN Access Points an die MS-Server melden, der dann in besagter Datenbank nachschlägt, wo diese APs sich befinden. Gleichzeitig wird der Datenbestand durch solche Anfragen laufend ergänzt. Diese Ortsbestimmung ist unabhängig von GPS, sie liefert aber Informationen, wo sich das anfragende Smartphone und vermutlich auch sein Besitzer gerade aufhalten an Dritte.

Bursztein wollte am Mittwoch auf der Black-Hat-Konferenz in las Vegas berichten, dass er jedes von Microsoft erfasste WLAN-Gerät lokalisieren könne und wie er es macht. Diese Lücke ist jetzt geschlossen, das prinzipielle Problem besteht aber ebenso bei iPhones, Android-Geräten und Skyhook. Auch Googles Datenbank wurde schon gehackt.