Bateria w telefonie, tablecie i laptopie zagraża prywatności
Istnieje całe mnóstwo sposobów na śledzenie działań użytkowników internetu - począwszy od najzwyklejszych ciasteczek, poprzez dość nowatorskie rozwiązanie canvas fingerprinting, by na oprogramowaniu malware skończyć.
12.08.2016 17:07
Pomyślicie jak to możliwe? Otóż okazuje się, że każde urządzenie mobilne za pomocą API statusu baterii opartego na języku HTML5. "informuje" serwery odwiedzanych stron o zapasie energii w akumulatorze - ile czasu do jej całkowitego rozładowania pozostało oraz czy sprzęt potrzebuje ładowania i jak długo ono będzie trwało. Dzięki tym informacjom na urządzenie wysłana może zostać bardziej "energooszczędna" wersja strony.
Steve Engelhard i Arvin Narayanan ustalili, że kombinacja zaledwie dwóch wartości - procentowa pojemność baterii oraz czas potrzebny do rozładowania urządzenia wystarczą, by móc śledzić urządzenie, które odwiedziło stronę. Badacze ustalili, że te dwie wartości dają aż 1. milionów różnych kombinacji, które mogą posłużyć do wyciągania wniosków ze śledzonego sprzętu.
Na łamach "The Guardian", naukowcy użyli dość obrazowego przykładu, by opisać identyfikacje urządzenia. Załóżmy, że użytkownik założył stronę internetową kościoła za pomocą Firefoxa, a później otworzył Google Chrome w trybie incognito, by przez VPN zalogować się na stronie satanistycznego kultu. Normalnie powiązanie tych dwóch połączeń byłoby praktycznie niemożliwe, jednak reklama, która pojawiła się w obu oknach przeglądarek będzie w stanie określić, że te dwa połączenia pochodzą z tego samego sprzętu i to z zaledwie jedną szansą pomyłki na 1. milionów możliwości.
Najgorszą częścią tej informacji jest to, że nie ma możliwości, by chronić się w jakikolwiek sposób przed tą metodą śledzenia. W tym wypadku nie wystarczy czyszczenie plików cookies. Korzystanie z połączeń VPN czy blokerów reklam też na nic się zda. Jedyną możliwością, by uchronić się przed śledzeniem za pomocą API baterii jest podłączenie urządzenia do stałego źródła zasilania.
Niestety nie ma żadnych informacji, czy ta wiedza jest wykorzystywana przeciwko użytkownikom, jednak środowisko zajmujące się bezpieczeństwem jest zaniepokojone możliwościami API baterii. Jak na razie jedyną firmą, która przyznała się do monitorowania poziomu naładowania telefonów jest Uber, który odkrył, że ich użytkownicy są w stanie zapłacić nawet 1. razy więcej za przejazd, kiedy ich prąd w baterii się kończy.
Jak na razie nie ma gotowych narzędzi, by wyłączyć zdalne przesyłanie statusu baterii. Pojawiają się jednak plotki, że niebawem producenci przeglądarek internetowych przedstawią jakieś pomysły. Możecie być pewni, że jeśli pojawi się jakieś rozwiązanie blokujący wysyłanie danych o bateriach z waszych urządzeń, niezwłocznie was powiadomimy.
Źródło: thenextweb.com