Technik

Tracking trotz Privatsphäreschutz Akkustand verrät den Nutzer

akkustand-besser-2.jpg

Der Akkustand kann mehr verraten, als viele Nutzer denken.

(Foto: jwa)

Firefox, Chrome und Opera fragen im Hintergrund den Akkustand von Smartphones und Laptops ab. Was nützlich sein soll, birgt auch Risiken: Nutzer können anhand der Daten eindeutig im Netz identifiziert werden - auch wenn sie anonym surfen.

Die beliebten Browser Firefox, Chrome und Opera haben eine kaum bekannte Eigenschaft: Sie können den Akkustand eines Laptops oder Smartphones ermitteln. Möglich macht das die HTML5-Programmierschnittstelle "Battery Status API", die ungefragt den Batteriestatus eines Webseitenbesuchers abfragt. Der Hintergrund: Websites oder Web-Apps können bei wenig Akkuladung bestimmte nicht unbedingt benötigte Funktionen ausschalten, um Strom zu sparen. Eigentlich eine nützliche Funktion, die aber ein Sicherheitsrisiko birgt: Sicherheitsexperten haben herausgefunden, dass man mithilfe der API Nutzern nicht nur mehr Laufzeit verschaffen, sondern sie auch eindeutig identifizieren kann, während sie im Netz surfen.

Eingeführt wurde die Schnittstelle bereits 2012 vom "World Wide Web Consortium" (W3C). Erklärtes Ziel: Web-Entwickler sollen Inhalte und Anwendungen so programmieren können, dass sie stromsparender arbeiten, wenn ein Gerät nicht geladen wird oder der Akkustand niedrig ist. Um vorherige Erlaubnis für die Akkustandsabfrage müssten Nutzer dabei nicht gefragt werden, denn, so die Begründung des W3C, die eingeholte Information habe wenig Einfluss auf die Privatsphäre der Webseiten-Besucher. Dass das so nicht ganz richtig ist, hat jetzt ein belgisch-französisches Forscherteam herausgefunden.

14 Millionen eindeutige Kombinationen

Die Studie "The leaking battery", auf die der "Guardian" hinweist, zeigt, dass die Informationen zum Akkustand so genau sind, dass die Daten eindeutig einem Nutzer zugeordnet werden können - eine Art digitaler Fingerabdruck für Laptops und Smartphones. Alle 30 Sekunden werden zwei Werte ermittelt: der aktuelle Akkustand in Prozent und die geschätzte verbleibende Zeit in Sekunden, bis der Akku ganz leer ist. Aus diesen Werten lassen sich rund 14 Millionen mögliche Kombinationen ermitteln - genug, um Nutzer zu identifizieren.

Pikant: Das geht laut "Guardian" auch dann, wenn ein Nutzer versucht, seine Identität beim Surfen im Netz zu verbergen, zum Beispiel durch VPNs, Anonymisierungstools wie Tor, private Browser-Modi oder durch Löschen von Cookies. Anhand der Battery Status API kann ein Nutzer trotzdem für je eine halbe Minute auf seinem Weg durchs Netz und verschiedene Websites eindeutig identifiziert werden. Um das zu umgehen, schlagen die Forscher eine einfache Lösung vor, die die Funktionalität der API nicht beeinträchtigt: Indem man die Messgenauigkeit reduziert und die ermittelten Werte rundet, könnten Nutzer nicht mehr eindeutig identifiziert werden. Mozilla habe den Vorschlag bei seinem Browser Firefox bereits umgesetzt.

"Browser Fingerprinting"

Die Battery Status API ist aber nicht der einzige Weg, wie Nutzer trotz Vorkehrungen im Netz identifiziert und verfolgt werden können. Effektives Tracking ist auch über die Eigenschaften möglich, die ein Browser über den Nutzer und das System verrät. Betriebssystem, Hardware, installierte Schriftarten, Plugins und vieles mehr liefern einen digitalen Fingerabdruck, einen "Browser Fingerprint", der unter Millionen Nutzern einzigartig ist.

Vom "Fingerprinting" profitieren aber nicht nur Werbetreibende, die Nutzer mit passgenauer Werbung versorgen, wie "Netzpolitik" erklärt. Es kann auch vor Online-Betrug schützen, indem das "Normalverhalten" eines Nutzers aufgezeichnet und gespeichert wird. Weicht er vom Standard ab, tritt eine zweite Sicherheitsstufe in Kraft, zum Beispiel die Zwei-Faktor-Authentifizierung.

Quelle: n-tv.de, jwa

Mehr zum Thema