Okazuje się, że nawet informacje o eksploatacji baterii w smartfonie czy tablecie mogą stać się użytecznym źródłem informacji na nasz temat dla firm. Szczególnie dziś, w momencie, gdy każda z nowoczesnych przeglądarek obsługuje stosowne API HTML5 pozwalające na udostępnianie tych danych stronom www....
Okazuje się, że nawet informacje o eksploatacji baterii w smartfonie czy tablecie mogą stać się użytecznym źródłem informacji na nasz temat dla firm. Szczególnie dziś, w momencie, gdy każda z nowoczesnych przeglądarek obsługuje stosowne API HTML5 pozwalające na udostępnianie tych danych stronom www.
W sieci pojawił się raport zatytułowany "The leaking battery. A privacy analysis of the HTML5 Battery Status API". Jego autorami są specjaliści zajmujący się kwestiami bezpieczeństwa oraz prywatności: Lukasz Olejnik, Gunes Acar, Claude Castelluccia oraz Claudia Diaz. Zwracają oni uwagę na bardzo niepokojący problem związany z Battery Status API udostępniającym stronom www oraz webaplikacjom informacje o statusie baterii w urządzeniu użytkownika. Są to bardzo szczegółowe dane dotyczące stanu naładowania, czasu pracy i rozładowywania. To wystarczy, aby potencjalna usługa lub cyberprzestępca stworzył nasz profil i wykorzystał go do monitorowania aktywności w sieci. Rozwiązanie to swoimi możliwościami zdecydowanie przebija wykorzystywane do tej pory ciasteczka. Ciasteczka jednak możemy usunąć, albo uruchomić przeglądarkę w trybie incognito. W przypadku śledzenia na podstawie stanu baterii, nie ma o tym mowy.
Co istotne, od czerwca 2015 Battery Status API wspierają najpopularniejsze przeglądarki - Chrome, Opera, Firefox. Użytkownik nie jest powiadamiany o tym, że strona uzyskuje dostęp do danych baterii. Odbywa się to w sposób automatyczny i niezauważalny. Pierwotnie ideą było umożliwienie stronom www oraz aplikacjom na przełączanie urządzenia w tryb oszczędzania energii w sytuacji, gdy zaczyna się ono rozładowywać.
Twórcy raportu zwracają działanie Firefoksa w środowiskach GNU/Linux. API pozwala tutaj na bardzo precyzyjny odczyt stanu baterii. W jednym z przytaczanych przykładów wynosił on... 0.9301929625425652. Dla porównania ten sam Firefox na Windows wyświetlił wynik z zaledwie dwoma miejscami po przecinku. Trzeba jednak zaznaczyć, że nie tylko Firefox obsługuje to API.
Odpowiedni skrypt może zatem zidentyfikować użytkownika i działać na zasadzie overcookies (globalnych cookies), śledząc jego poczynania na innych witrynach, gdzie zostanie zaimplementowany. Bez naszej wiedzy i zgody, a także właściwie bez żadnego wpływu na to jesteśmy śledzeni. Oczywiście tutaj wszystko się sprowadza do pytania - na ile to realne. Stan baterii zmienia się co chwilę. Czy autor takiego skryptu na podstawie unikatowego stanu (jaki, przypomnijmy, aktualnie otrzymuje jedynie na Linuksie - na Windows nie można zidentyfikować urządzenia na podstawie stanu baterii) jest w stanie wyliczyć stosowny wektor i przewidzieć, jak będzie wyglądał stan baterii za np. 15 minut, aby zidentyfikować kolejne działania użytkownika. Identyfikowanie użytkowników na podstawie stanu baterii może zatem działać jedynie w krótkim czasie (w końcu przecież ten użytkownik podłączy ładowarkę i jak wtedy skrypt zadziała), albo też stanowić dopełnienie dla innych metod śledzenia, czyniąc je skuteczniejszymi.
Okazuje się, że nawet z pozoru praktyczne i przydatne rozwiązania, które w założeniu mają podnieść nasz komfort pracy mogą zostać wykorzystane w sposób, zupełnie odbiegający od pierwotnego przeznaczenia. Czy ktoś zdawał sobie sprawę z tego, że dane dotyczące baterii można wykorzystać w taki sposób?
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
