ENGINEERINGNET.BE - Een team van Europese onderzoekers, waaronder Gunes Acar en Claudia Diaz van het Vlaamse digitale onderzoekscentrum iMinds en de universiteit van Leuven, heeft een studie uitgevoerd rond privacy-risico’s bij het gebruik van de 'HTML5 Battery Status API'.
Met deze API checken websites het energieniveau van de batterij van je mobiele telefoon, om zo te bepalen of ze je een al dan niet energiezuinige versie van hun content naar je toestel zenden.
"Daar schuilen privacy-risico's in", claimen de onderzoekers: "Onbedoeld opent de API de deur naar een nieuwe manier van 'digital fingerprinting' – het identificeren van de unieke ‘vingerafdruk’ van een toestel met de bedoeling de online activiteiten van de gebruiker te volgen.
Het team onderzocht specifiek de implementatie van de API in de Firefox-browser. Ze ontdekten dat het combineren van gegevens over het energieniveau van een batterij en de voorspelde op- en ontlaadtijd ervan websites daadwerkelijk in staat stelt om het online gedrag van gebruikers te volgen.
"Momenteel wordt de ‘Battery Status API’ gebruikt zonder de toestemming van websitebezoekers te vragen, omdat de makers beweren dat de informatie die wordt verzameld een minimale privacy-impact heeft," zegt Gunes Acar.
"Maar naarmate een batterij ouder wordt, vermindert de capaciteit ervan; een vermindering die voor elke batterij verschilt. Op basis van die unieke info kan het online gedrag van gebruikers wel degelijk in de gaten worden gehouden – zelfs als ze ervoor hebben gekozen om te surfen in private modus, of wanneer ze hun cookies hebben verwijderd".
Volgens de onderzoekers zijn er twee manieren om te voorkomen dat de ‘Battery Status API’ wordt gebruikt voor fingerprinting.
Eén, de makers zouden de informatie over het energieniveau van de batterij simpelweg kunnen afronden. Zo wordt het privacy-risico al aanzienlijk geminimaliseerd, en dat zonder de API aan functionaliteit te laten inboeten.
Of twee, de aanbieders van webbrowsers - in dit specifiek onderzoek dus Firefox - zouden mensen om toestemming moeten vragen vooraleer van de ‘Battery Status API’ gebruik te maken: zo maken ze gebruikers bewust van het type informatie dat verzameld wordt, en de waarde ervan.
De onderzoekers namen contact op met het World Wide Web Consortium (dat in 2012 de API introduceerde) nog voor ze met deze resultaten naar buiten kwamen. Het probleem werd naar verluidt onmiddellijk onderkend, en stappen werden gezet om een oplossing te zoeken.
Er werd ook een Firefox-bug report ingediend, met in juni 2015 alvast een Firefox-fix als resultaat. Maar de - overigens nog vrij onbekende - API wordt vanaf juni 2015 ook door andere browsers ondersteund, waaronder Opera, Chrome, de Android browser (versie 5.0 en hoger) én in Chrome for Android (vanaf versie 4.0).
