Om gps-spoofing te laten werken moet je er op je smartphone voor zorgen dat dit de enige methode van positiebepaling is. Anders is je locatie op andere manieren te achterhalen. Hiervoor ga je naar Instellingen / Locatie / Stand (of Modus). Zorg dat je hier niet de standaardoptie Hoge precisie (of Grote nauwkeurigheid) kiest maar de optie Alleen GPS (of Alleen apparaat). Zie je bij Locatie ook de optie Precisie verbeteren, zorg dan dat de opties Scannen via Wi-Fi en Scannen via Bluetooth in dat menu uit staan. Met bovenstaande instellingen zal de smartphone in principe alleen nog via gps de locatie bepalen. Al zijn sommige systeem-apps nog weleens eigenwijs. Meestal voorkom je met die instelling ook dat je toestel blijft omschakelen tussen je echte locatie en de neplocatie, ook wel rubber banding genoemd. Daar kun je bij gps-spoofing soms last van hebben.

Het begrip rubber banding kom je regelmatig tegen, met verschillende betekenissen. Bij positiebepaling wordt de term gebruikt als de smartphone regelmatig wisselt tussen de neplocatie en je echte locatie, vaak herhaaldelijk. Het lijkt alsof je aan een elastiek vastzit. Bij online mulitplayergames wordt de term gebruikt als je met regelmaat wordt teruggezet naar een plaats waar je enkele seconden eerder nog was. Dit komt vaak door vertragingen in het netwerk of op de server, waardoor je positie met vertraging wordt bijgewerkt. Ook in racegames kom je het tegen, als een (vaak hinderlijke) vorm van kunstmatige intelligentie: wie voorop ligt zal minder snel uitlopen, terwijl achterblijvers juist geholpen worden om wat sneller dichterbij te komen.

Apps voor GPS-spoofing

Voor gps-spoofing heb je een spoofing-app nodig. Je vindt ze in Google Play onder namen als Fake GPS of Location Mockup. Ze werken allemaal ongeveer hetzelfde. Je kunt veelal je positie op een wereldkaart aanwijzen, vaak ook zoeken naar een plek, en soms zelfs via een joystick in een transparant venstertje bovenop andere apps je locatie wijzigen. Met die joystick kun je dan een beweging in een bepaalde richting simuleren met bijvoorbeeld voetgangerssnelheid. In deze workshop gebruiken we Fake GPS van Lexa.

Om het instellen van neplocaties met dit soort apps mogelijk te maken moet je ook nog een optie voor ontwikkelaars gebruiken. Heb je ontwikkelaarsopties nog niet aangezet, ga dan naar Instellingen / Over deze telefoon. Blader naar onderen. Tik onder het kopje Software zeven keer op het Build-nummer. Er verschijnt dan een balkje met de mededeling dat je ontwikkelaar bent. Onder Instellingen vind je nu een extra menu genaamd Opties voor ontwikkelaars. Zorg dat in dat menu de optie Neplocaties toestaan is aangezet. In Marshmallow (6.0) en Nougat (7.0) werkt dit iets anders: je moet hier via een lijstje specifiek de app kiezen die je voor neplocaties wilt gebruiken, zoals Fake GPS.

Het instellen van een neplocatie is bij Fake GPS heel eenvoudig. Verplaatst het locatiepinnetje op de kaart naar de gewenste locatie. Gebruik de zoomfunctie om dit in meer detail te doen. Je kunt ook een locatie opzoeken via de zoekfunctie. Wij zochten Brussel en zetten het pinnetje bij Manneken Pis. Druk daarna op de speeltoets. Start Google Maps om te zien of de ingestelde locatie klopt. Om de locatie te wijzigen zul je opnieuw naar de Fake GPS-app moeten. Een leuk alternatief is Mock GPS waarmee je via een joystick op het scherm kunt rondwandelen. De snelheid kun je vooraf instellen.

© PXimport

Voor ontwikkelaars van apps zijn er enkele mechanismen om te herkennen dat je een neplocatie gebruikt. Door een klein achterdeurtje in Android konden apps als Fake GPS dat in het verleden nog verhullen. Met een veiligheidsupdate van maart dit jaar is dat lek gedicht in verschillende versies van Android. Welke consequenties er vastzitten aan het gebruik van neplocaties verschilt sterk per app. De meeste apps blijken geen moeite met neplocaties te hebben. Niantec, de ontwikkelaar van Pokémon Go, werpt daarentegen alles in de strijd om te voorkomen dat gebruik wordt gemaakt van neplocaties

. Het grote aantal valsspelers maakt het spel in sommige regio’s namelijk een stuk minder leuk. Het lijkt er zelfs op dat de beste spelers dit het liefste vanaf de luie bank doen, mede gezien het gemak waarmee je op die manier kunt spelen. Dat gebeurt overigens niet alleen door het instellen van neplocaties maar ook door het inzetten van bots als Necrobot die helpen bij het trainen van je Pokémon.

GPS-spoofing op sites

Websites konden in het verleden alleen je ip-adres gebruiken om je locatie in te schatten. Met de html5-geolocation-api is dat veranderd. De browser zelf kan je locatie nauwkeurig bepalen aan de hand van gps, gevonden wifi-netwerken, zendmasten, bluetooth en natuurlijk ook nog je ip-adres. Een website kan die locatie opvragen met de geolocation-api. Je moet zelf per website expliciet toestemming geven. Probeer het maar eens op deze website. Dat is overigens ook een handige site om te zien wat voor informatie je browser op andere manieren prijsgeeft, zoals via je ip-adres of javascript.

Op een smartphone zal de geolocation-api, dankzij de hulp van gps, een veel nauwkeuriger resultaat geven dan op een desktop. Een restrictie van de geolocation-api is dat deze, bij recente versies van Chrome, alleen werkt op websites die een versleutelde verbinding (https) gebruiken. Dat is wel iets om rekening mee te houden als je zelf de geolocation-api voor een website zou willen gebruiken.

Ook websites kun je voor de gek houden met een neplocatie. Dat gaat het eenvoudigst met Chrome op de desktop. Via de ontwikkelaarstools, die je bereikt met Ctrl+Shift+I, kun je een andere locatie opgeven. Ga naar het tabje Console en open in het menu linksonder de optie Sensors. Achter Geolocation kun je met Custom location zelf een andere locatie opgeven.

Daarvoor heb je de latitude en longitude nodig. Je kunt ook een van de vaste instellingen kiezen zoals Berlijn of Londen. Zorg dat de ontwikkelaarstools open blijven staan om de neplocatie actief te houden. Zo’n neplocatie betekent overigens niet dat streamingdiensten zoals Netflix opeens werken, die doen niets met de informatie en gebruiken alleen je ip-adres.

Location Guard

Met de browser-extensie Location Guard heb je veel meer controle over de positie die aan websites wordt doorgegeven. De extensie is beschikbaar voor de desktopbrowsers Chrome, Firefox en Opera en ook voor Firefox onder Android. Location Guard is niet alleen handig voor het instellen van een neplocatie, maar helpt ook bij het beschermen van je privacy.

Per website kun je via een pictogram kiezen wat voor positie moet worden doorgegeven. Dat kan je echte locatie zijn, maar je kunt met de opties Low, Medium of High ook een bepaalde afwijking toevoegen, bedoeld om je privacy te beschermen. Bovendien kun je een vaste, vooraf ingestelde positie doorgeven. Welke locatie dat is kun je via de opties van Location Guard aanpassen.

Ook op de smartphone kun je websites voor de gek houden met een neplocatie. Het ligt voor de hand om daarvoor bijvoorbeeld Fake GPS te gebruiken. Opvallend genoeg negeert de Chrome-browser onder Android de neplocaties. Als je bijvoorbeeld maps.google.com in de Chrome-browser bezoekt zie je je echte locatie en niet de neplocatie. Firefox gebruikt de neplocaties wel. De extensie Location Guard kun je natuurlijk ook gebruiken, die werkt in Firefox voor Android ook naar behoren en je kunt net als op de desktop per website aangeven welke locatie doorgegeven moet worden.

Tekst: Gertjan Groen