Ihre Akkulaufzeit kann verwendet werden, um Sie online zu verfolgen
A private Forschung im vergangenen Jahr vor der Möglichkeit gewarnt, dass Website-Besitzer einen bestimmten Webstandard verwenden, um die Akkulaufzeit eines Mobilgeräts anzugeben. Diese Funktion ist als Batteriestatus-API bekannt und wurde in HTML 5 eingeführt, das im August 2015 in Chrome, Firefox und Opera ausgeliefert wurde. Diese Version des Codes ermöglicht es den Besitzern, den Prozentsatz der verbleibenden Akkulaufzeit eines Geräts, die Zeit, die es zum Entladen braucht, oder sogar die Zeit, die es zum Aufladen braucht, wenn es an eine Stromquelle angeschlossen ist, zu überwachen.
Die Batteriestatus-API wurde mit dem Ziel eingeführt, Website-Besitzern die Möglichkeit zu geben, Nutzern, die nur noch über eine geringe Akkukapazität verfügen, Versionen der Website und der App mit geringem Stromverbrauch anzubieten. Nach ihrer Einführung warnte ein privater Forscher, dass sie zum Ausspionieren von Nutzern verwendet werden könnte. Eine Kombination aus Akkulaufzeit und prozentualer Akkulaufzeit kann in Sekundenschnelle 14 Millionen Kombinationen liefern, die eine eindeutige Kennung für jedes Gerät darstellen.
Jetzt Forscher der Princeton University haben gezeigt, dass die Batteriestatus-API tatsächlich dazu verwendet wird, Nutzer zu verfolgen. Steve Engelhard und Arvind Narayanan stellten fest, dass beim Ausführen eines speziell modifizierten Browsers zwei Skripte gefunden wurden, die die API für den "Fingerabdruck" eines bestimmten Geräts nutzten, was ihnen die Möglichkeit gab, dieses kontinuierlich über mehrere Kontexte hinweg zu identifizieren. Im Gegensatz zu anderen Verfolgungsmechanismen wie Cookies kann die Batteriestatus-API leider nicht abgeschaltet werden. Das bedeutet, dass sie dazu verwendet werden kann, Ihre Online-Präsenz zu verfolgen, selbst wenn Webnutzer Cookies deaktiviert haben, ein virtuelles privates Netzwerk verwenden oder einen privaten Browsing-Modus aktiviert haben.
Sicherheitsforscher aus Princeton stellten fest, dass eine Kombination der Batteriestatus-API mit anderen Webkennungen wie der IP-Adresse und der Browsererweiterung, die bereits von einigen Websites verwendet wird, um Fingerabdrücke des Geräts eines Nutzers zu erstellen, die Verfolgung relativ einfach machen könnte. Die Forscher gaben zu, dass sie sich nicht sicher sind, wofür die Informationen derzeit verwendet werden. Unternehmen könnten möglicherweise versuchen, Nutzer mit spezifischen personalisierten Anzeigen, Produkten und Werbeaktionen anzusprechen, indem sie den einzigartigen "digitalen Fingerabdruck" Ihres Geräts verwenden.
Die Ergebnisse der Princeton University waren hervorgehoben von Lukasz OlejnikOlejnik ist ein führender Forscher, der 2015 erstmals auf das potenzielle Problem mit der Batteriestatus-API hingewiesen hat. Olejnik hat nach seiner frühen Warnung definitiv einen gewissen Erfolg erzielt: Die für die Webstandards zuständige Gruppe dankte seinem Team für die Analyse. Olejniks hat davor gewarnt, dass die Batterie-API immer noch das Potenzial für Missbrauch hat, obwohl sie derzeit nur für Skripte verwendet wird.
Bildnachweis:news.sky