Hlavní navigace

Šmírovat nás může už i baterie v mobilním zařízení či laptopu

Daniel Dočekal

Rok starý teoretický objev se stal realitou, baterie jsou používány pro sledování lidí na Internetu. Prostě když docházejí cookies, poslouží další cesty.

Doba čtení: 2 minuty

Když před rokem The Leaking Battery (PDF) od belgických a francouzských bezpečnostních expertů upozornilo na existenci API v HTML 5 schopného zjišťovat stav baterie, tak to vypadalo jako poměrně obskurní hrozba. Využívat baterii v mobilním zařízení či laptopu pro browser fingerprinting (otisk prohlížeče) byla čistá teorie – zejména pokud šlo v zásadě pouze o to, jak je baterie nabitá a jak dlouho bude trvat její vybití.

Skutečnost je, že Battery Status API skutečně v rámci HTML 5 existuje a není zde žádné nutné přidělení přístupových práv. Sami tvůrci HTML 5 (W3C) nepovažují tyto informace za tak podstatné, aby nemohly být zpřístupněny veřejně. Autoři výše uvedené studie upozorňují, že poskytované údaje jsou velmi přesné a že jejich využití pro fingerprinting je skutečně možné. Minimální způsob obrany by přitom měl být alespoň v tom, že údaje budou zaokrouhleny.

Hlavní problém Battery Status API je přesně tam, kde začíná potřeba fingerprintingu – poznat uživatele podle prohlížeče napříč Internetem. „Otisk prohlížeče“ se pár posledních let objevuje hlavně proto, že pro identifikaci lidí (a jejich prohlížečů) méně a méně fungují cookies. Na Lupě o tom byla řeč například ve starším článku Weby tajně používají k sledování uživatelů otisky zařízení či ještě starším Jak vás budou na webu špehovat v novém desetiletí?.

Prakticky vždy jde u těchto řešení hlavně o identifikaci uživatelů za účelem dodávání reklamy, ale můžete přijít i na daleko škodlivější využití. Třeba taková, že poznáte uživatele i poté, co použije „anonymní režim“ prohlížeče či se bude snažit skrývat za proxy servery a vůbec si jinak chránit soukromí.

KL2018 Tip nominace

Rok staré upozornění ale dnes už není jenom teorií, jak upozorňuje The Guardian v Your battery status is being used to track you online, dvojici odborníků na bezpečnost z Princetonské univerzity se podařilo objevit praktické nasazení skriptů, které právě Battery Status API využívají.

Upozorňují i na další možné zneužití, ne nepodobnému tomu, se kterým se nedávno objevil ve spojitosti Uber. Tedy když lidem dochází baterie, tak jsou svolnější nejenom k rychlému rozhodnutí, ale také třeba k zaplacení vyšší ceny. Lukasz Olejnik v Battery Status readout as a privacy risk uvádí i některé další detaily

Našli jste v článku chybu?