Hlavní navigace

Šmírovat nás může už i baterie v mobilním zařízení či laptopu

Daniel Dočekal

Rok starý teoretický objev se stal realitou, baterie jsou používány pro sledování lidí na Internetu. Prostě když docházejí cookies, poslouží další cesty.

Když před rokem The Leaking Battery (PDF) od belgických a francouzských bezpečnostních expertů upozornilo na existenci API v HTML 5 schopného zjišťovat stav baterie, tak to vypadalo jako poměrně obskurní hrozba. Využívat baterii v mobilním zařízení či laptopu pro browser fingerprinting (otisk prohlížeče) byla čistá teorie – zejména pokud šlo v zásadě pouze o to, jak je baterie nabitá a jak dlouho bude trvat její vybití.

Skutečnost je, že Battery Status API skutečně v rámci HTML 5 existuje a není zde žádné nutné přidělení přístupových práv. Sami tvůrci HTML 5 (W3C) nepovažují tyto informace za tak podstatné, aby nemohly být zpřístupněny veřejně. Autoři výše uvedené studie upozorňují, že poskytované údaje jsou velmi přesné a že jejich využití pro fingerprinting je skutečně možné. Minimální způsob obrany by přitom měl být alespoň v tom, že údaje budou zaokrouhleny.

Hlavní problém Battery Status API je přesně tam, kde začíná potřeba fingerprintingu – poznat uživatele podle prohlížeče napříč Internetem. „Otisk prohlížeče“ se pár posledních let objevuje hlavně proto, že pro identifikaci lidí (a jejich prohlížečů) méně a méně fungují cookies. Na Lupě o tom byla řeč například ve starším článku Weby tajně používají k sledování uživatelů otisky zařízení či ještě starším Jak vás budou na webu špehovat v novém desetiletí?.

Prakticky vždy jde u těchto řešení hlavně o identifikaci uživatelů za účelem dodávání reklamy, ale můžete přijít i na daleko škodlivější využití. Třeba taková, že poznáte uživatele i poté, co použije „anonymní režim“ prohlížeče či se bude snažit skrývat za proxy servery a vůbec si jinak chránit soukromí.

EBF17

Rok staré upozornění ale dnes už není jenom teorií, jak upozorňuje The Guardian v Your battery status is being used to track you online, dvojici odborníků na bezpečnost z Princetonské univerzity se podařilo objevit praktické nasazení skriptů, které právě Battery Status API využívají.

Upozorňují i na další možné zneužití, ne nepodobnému tomu, se kterým se nedávno objevil ve spojitosti Uber. Tedy když lidem dochází baterie, tak jsou svolnější nejenom k rychlému rozhodnutí, ale také třeba k zaplacení vyšší ceny. Lukasz Olejnik v Battery Status readout as a privacy risk uvádí i některé další detaily

Našli jste v článku chybu?