Sicherheitsforscher der Princeton University haben herausgefunden, dass Nutzer über eine bestimmte HTML5-Funktion online getrackt werden.
Es handelt sich dabei um eine Schnittstelle zum Auslesen des Akkustatus. Schon vor einem Jahr hatten Experten vor einem möglichen Missbrauch des API gewarnt.
Eigentlich zum Ausspielen stromsparender Website-Versionen
Über das Batteriestatus-API wird einer Website mitgeteilt, wie viel Akkulaufzeit auf einem mobilen Gerät verbleibt und wie lange das Aufladen noch dauert, wenn das Gerät an eine Stromquelle angeschlossen ist. Sinn der Funktion ist, dass auf einem Gerät mit niedrigem Ladestand automatisch eine ressourcenschonendere Version einer Website angezeigt werden kann.
Bereits kurz nach Einführung des API im vergangenen Jahr haben Experten gewarnt, dass es auch zum Ausspionieren von Nutzern missbraucht werden könnte (Was Geheimdienste mit Smartphones alles anstellen (Video)).
Zwei Tracking-Scripts entdeckt
Die beiden Sicherheitsforscher Steven Englehardt und Arvind Narayanan haben nun nachgewiesen, dass das Akku-API tatsächlich dazu genutzt wird, um Nutzer zu tracken. Sie haben zwei Tracking-Scripts entdeckt, die auf das API zurückgreifen, um einzelnen Geräten einen eindeutigen Fingerabdruck zuzuweisen.
Das funktioniert, indem der aktuelle Akkustatus oder die restliche Ladezeit mit verschiedenen anderen identifizierenden Faktoren kombiniert wird. Lukasz Olejnik, einer jener Forscher, die schon 2015 vor Missbrauch des APIs warnten, schreibt in seinem Blog, dass Unternehmen solche Tracking-Scripts beispielsweise für Geschäftszwecke einsetzen könnten.
„Bei niedrigem Akkustatus könnten Nutzer andere Entscheidungen als sonst treffen. Unter diesen Umständen sind Nutzer dazu bereit, mehr für einen Service zu zahlen.“
Gegenmaßnahmen
Die Forscher arbeiten nun an Methoden, um Tracker automatisch zu entdecken und zu klassifizieren. Das könnte die Effektivität von Browser-Privacy-Tools erhöhen, die heute vor allem auf manuell geführte Listen zurückgreifen.
Laut Olejnik sollen Browser-Hersteller zudem überlegen, ob sie den Zugriff auf das API einschränken oder deaktivieren.
In einem Blogbeitrag warnt Lukasz Olejnik zusätzlich davor, dass Unternehmen die Schnittstelle ausnutzen könnten, um Kunden mit einem niedrigen Akkustand höhere Preise anzubieten.
Hintergrund davon ist, dass diese Personen in der Stress-Situation schneller entscheiden müssten als solche mit vollem Akku. Ursprünglich war die Schnittstelle dafür gedacht, um Endgeräten mit niedrigem Akkustand energiesparende Webseiten auszuliefern.
Die simpelste Methode sich zu schützen: wenn Sie kein mobiles Gerät besitzen…
Literatur:
Die globale Überwachung: Der Fall Snowden, die amerikanischen Geheimdienste und die Folgen von Glenn Greenwald
Böse Gutmenschen: Wer uns heute mit schönen Worten in den Abgrund führt von Bernd Höcker
NSA, BND & Co.: Die Möglichkeiten der Geheimdienste: Technik, Auswertung, Gegenmaßnahmen von Gilbert Brands
Quellen: PublicDomain/derstandard.at/netzpolitik.org am 04.08.2016
