Hlavní navigace

Šmírovat nás může už i baterie v mobilním zařízení či laptopu

Daniel Dočekal

Rok starý teoretický objev se stal realitou, baterie jsou používány pro sledování lidí na Internetu. Prostě když docházejí cookies, poslouží další cesty.

Když před rokem The Leaking Battery (PDF) od belgických a francouzských bezpečnostních expertů upozornilo na existenci API v HTML 5 schopného zjišťovat stav baterie, tak to vypadalo jako poměrně obskurní hrozba. Využívat baterii v mobilním zařízení či laptopu pro browser fingerprinting (otisk prohlížeče) byla čistá teorie – zejména pokud šlo v zásadě pouze o to, jak je baterie nabitá a jak dlouho bude trvat její vybití.

Skutečnost je, že Battery Status API skutečně v rámci HTML 5 existuje a není zde žádné nutné přidělení přístupových práv. Sami tvůrci HTML 5 (W3C) nepovažují tyto informace za tak podstatné, aby nemohly být zpřístupněny veřejně. Autoři výše uvedené studie upozorňují, že poskytované údaje jsou velmi přesné a že jejich využití pro fingerprinting je skutečně možné. Minimální způsob obrany by přitom měl být alespoň v tom, že údaje budou zaokrouhleny.

Hlavní problém Battery Status API je přesně tam, kde začíná potřeba fingerprintingu – poznat uživatele podle prohlížeče napříč Internetem. „Otisk prohlížeče“ se pár posledních let objevuje hlavně proto, že pro identifikaci lidí (a jejich prohlížečů) méně a méně fungují cookies. Na Lupě o tom byla řeč například ve starším článku Weby tajně používají k sledování uživatelů otisky zařízení či ještě starším Jak vás budou na webu špehovat v novém desetiletí?.

Prakticky vždy jde u těchto řešení hlavně o identifikaci uživatelů za účelem dodávání reklamy, ale můžete přijít i na daleko škodlivější využití. Třeba taková, že poznáte uživatele i poté, co použije „anonymní režim“ prohlížeče či se bude snažit skrývat za proxy servery a vůbec si jinak chránit soukromí.

Brand

Rok staré upozornění ale dnes už není jenom teorií, jak upozorňuje The Guardian v Your battery status is being used to track you online, dvojici odborníků na bezpečnost z Princetonské univerzity se podařilo objevit praktické nasazení skriptů, které právě Battery Status API využívají.

Upozorňují i na další možné zneužití, ne nepodobnému tomu, se kterým se nedávno objevil ve spojitosti Uber. Tedy když lidem dochází baterie, tak jsou svolnější nejenom k rychlému rozhodnutí, ale také třeba k zaplacení vyšší ceny. Lukasz Olejnik v Battery Status readout as a privacy risk uvádí i některé další detaily

Našli jste v článku chybu?
4. 8. 2016 19:35
petr (neregistrovaný)

Ve W10 je firewall nastavený, tak že kdyby byl vypnutý, vůbec nic by se nestalo. Je děravý jako řešeto. Přenastavit nejde. Sám se zase vrátí do stavu v jakém ho chtějí mít prasata z Redmondu. W10 jsou plné nesmyslných aplikací z mobilu. To mohl vymyslet jenom kretén. W10 jsou šmejd a basta!

4. 8. 2016 20:15
petr (neregistrovaný)

Já jsem se místo ladění nevyladitelných W10 přesunul k Linuxu. Můj notebook si jenom vrní. Akorát je škoda že MS zase jednomu člověku znemožnil používat legálně zakoupené W7, u kterých v podstatě znemožnil jejich aktualizaci a místo kterých mi vnucuje W10 Spyware Edition o které nemám zájem. Jak chtějí...