Je smartphonebatterij verklapt je identiteit

© Batterij
Frederik Tibau expert Digital Innovation & Growth bij Agoria

Securityspecialisten van de KULeuven hebben aangetoond hoe de identiteit van smartphone- en laptopgebruikers bepaald kan worden aan de hand van hun batterij. De onderzoekers wijzen er op dat de privacy van de gebruikers in het gedrang komt.

Boosdoener is de weinig bekende ‘battery status’-API in HTML5, die er voor zorgt dat websites kunnen achterhalen hoe lang de batterij van een bezoeker nog meegaat. Een team van 2 Belgische en 2 Franse securityspecialisten wijst er op dat die informatie gebruikt kan worden om de identiteit van de bezoeker te bepalen.

De API waar het over gaat wordt momenteel ondersteund in Firefox, Opera en Chrome, in de Android browser (versie 5.0 en hoger) én in Chrome for Android (vanaf versie 4.0). Hij werd in 2012 geïntroduceerd door het World Wide Web Consortium (W3C, het orgaan dat webstandaarden overziet en beheert) met de bedoeling websites de mogelijkheid te geven om de energie op het toestel van bezoekers te sparen.

Idealiter detecteert een website of een webapp in HTML 5 dankzij de battery status-API wanneer een internetgebruiker nog maar weinig energie over heeft op zijn toestel, en schakelt hij dan over naar een soort van ‘light’-modus waarbij de belangrijkste batterij-vretende features uitgeschakeld worden.

Bij de specificaties voor deze API wordt uitdrukkelijk gesteld dat websites geen toestemming moeten vragen aan gebruikers voor de bepaling van hun batterij-status, omdat die informatie maar een minimale impact zou hebben en de privacy van de internaut niet in het gedrang zou brengen.

Maar uit een paper van twee Belgische ESAT-onderzoekers (KULeuven) en hun Franse collega’s van INRIA (het Institut national de recherche en informatique et en automatique), blijkt nu dat het tegendeel waar is.

De onderzoekers wijzen er op dat de informatie die de websites ontvangen uit de battery status API zo specifiek is, dat ze gebruikt kan worden om websitegebruikers te identificeren, zelfs wanneer ze een VPN gebruiken om hun identiteit af te schermen.

Digitale vingerafdruk

De data die wordt doorgeseind bevat de tijd in seconden dat de batterij nog zal meegaan, én de resterende capaciteit uitgedrukt als percentage. Wanneer die twee cijfers gecombineerd worden (er zijn ongeveer 14 miljoen combinaties mogelijk), kunnen ze dienst doen als uniek ID-nummer.

Met andere woorden kunnen kwaadwillenden (en marketeers) een soort van ‘digitale vingerafdruk’ maken van je apparaat dankzij de data uit de battery status API, en daarna je activiteiten op het internet verder opvolgen.

Omdat de twee cijfers uit de bewuste API om de 30 seconden geüpdatet worden, krijgen geïnteresseerde partijen dertig seconden de tijd om hun identificaties uit te voeren.

In dat tijdsinterval kunnen hackers code in je browser ‘verstoppen’ om je verder te identificeren en te volgen, een beetje zoals dat gebeurt met evercookies (een evercookie is een toepassing die gebruikt wordt om moeilijk te detecteren ‘zombiecookies’ te verstoppen in webbrowsers).

In een zakelijke omgeving, waar verschillende apparaten vaak één IP-adres delen, kan de informatie uit de batterij van een laptop of van een Android-smartphone ook worden gebruikt om toestellen achter de firewall van elkaar te onderscheiden en te identificeren, iets wat traditionele tracking-methodes veel moeilijker voor elkaar krijgen.

Oplossing

Gelukkig is er volgens de onderzoekers een relatief eenvoudige oplossing voor het probleem. “Zorg er voor dat de meetwaarden uit de batterijdata minder precies zijn”, vertelt Gunes Acar van ESAT aan de KULeuven. “Als je de waarden afrondt, gaat er nauwelijks iets van de functionaliteit verloren, maar wordt het wel veel moeilijker tot zelfs onmogelijk om gebruikers nog te traceren.”

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content