Forscher entdecken: Nutzer werden über Akkustatus mobiler Geräte getrackt

3. August 2016, 10:19
146 Postings

Schon 2015 hatten Forscher vor Missbrauch des Battery Status API gewarnt

Sicherheitsforscher der Princeton University haben herausgefunden, dass Nutzer über eine bestimmte HTML5-Funktion online getrackt werden. Es handelt sich dabei um eine Schnittstelle zum Auslesen des Akkustatus. Schon vor einem Jahr hatten Experten vor einem möglichen Missbrauch des API gewarnt.

Eigentlich zum Ausspielen stromsparender Website-Versionen

Über das Batteriestatus-API wird einer Website mitgeteilt, wie viel Akkulaufzeit auf einem mobilen Gerät verbleibt und wie lange das Aufladen noch dauert, wenn das Gerät an eine Stromquelle angeschlossen ist. Sinn der Funktion ist, dass auf einem Gerät mit niedrigem Ladestand automatisch eine ressourcenschonendere Version einer Website angezeigt werden kann. Bereits kurz nach Einführung des API im vergangenen Jahr haben Experten gewarnt, dass es auch zum Ausspionieren von Nutzern missbraucht werden könnte.

Zwei Tracking-Scripts entdeckt

Die beiden Sicherheitsforscher Steven Englehardt und Arvind Narayanan haben nun nachgewiesen, dass das Akku-API tatsächlich dazu genutzt wird, um Nutzer zu tracken. Sie haben zwei Tracking-Scripts entdeckt, die auf das API zurückgreifen, um einzelnen Geräten einen eindeutigen Fingerabdruck zuzuweisen. Das funktioniert, indem der aktuelle Akkustatus oder die restliche Ladezeit mit verschiedenen anderen identifizierenden Faktoren kombiniert wird.

Lukasz Olejnik, einer jener Forscher, die schon 2015 vor Missbrauch des APIs warnten, schreibt in seinem Blog, dass Unternehmen solche Tracking-Scripts beispielsweise für Geschäftszwecke einsetzen könnten. "Bei niedrigem Akkustatus könnten Nutzer andere Entscheidungen als sonst treffen. Unter diesen Umständen sind Nutzer dazu bereit, mehr für einen Service zu zahlen."

Gegenmaßnahmen

Die Forscher arbeiten nun an Methoden, um Tracker automatisch zu entdecken und zu klassifizieren. Das könnte die Effektivität von Browser-Privacy-Tools erhöhen, die heute vor allem auf manuell geführte Listen zurückgreifen. Laut Olejnik sollen Browser-Hersteller zudem überlegen, ob sie den Zugriff auf das API einschränken oder deaktivieren. (br, 3.8.2016)

  • Der Akkustatus eines mobilen Geräts kann genutzt werden, um Nutzer online zu tracken. Zwei Forscher haben nun nachgewiesen, dass das bereits der Fall ist.
    foto: standard/riegler

    Der Akkustatus eines mobilen Geräts kann genutzt werden, um Nutzer online zu tracken. Zwei Forscher haben nun nachgewiesen, dass das bereits der Fall ist.

Share if you care.