Digital Life
08/04/2015

Wie Akkus die Privatsphäre gefährden

Belgische und französische Sicherheitsforscher demonstrieren, wie Web-Nutzer über die verbleibende Akku-Laufzeit von Notebooks und Smartphones identifiziert werden können.

Ein wenig bekanntes Feature in HTML 5 ermöglicht es Websites herauszufinden, wie viel Akkuladung Nutzer auf ihrem Computer oder ihrem Smartphone haben. Sicherheitsforscher warnen davor, dass diese Information dazu genutzt werden kann, um Nutzer im Web zu identifizieren.

Derzeit unterstützen die Browser Firefox, Chrome und Opera das sogenannte „battery status API“. Das World Wide Web Consortium (W3C) hat die Programmierschnittstelle 2012 eingeführt. Ziel war es, Nutzern dabei zu helfen, den Energieverbrauch ihrer Rechner zu reduzieren. Websites oder Web-Apps sollten feststellen können, wie viel Akkulaufzeit Laptops oder Smartphones verbleibt, um im Falle einer geringen Laufzeit energiefressende Features deaktivieren zu können.

Keine Zustimmung der Nutzer erforderlich

Weil davon ausgegangen wurde, dass dieses Feature wenig Einfluss auf die Privatsphäre hat, wurde die Zustimmung der Nutzer für den Einsatz des Features nicht vorgesehen. Ein vor kurzem veröffentlichtes Papier von belgischen und französischen Sicherheitsforschern stellt diese Annahme nun infrage, wie der "Guardian" berichtet.

Die Forscher weisen darauf hin, dass über den von Websites abgefragten Ladestand des Computers Nutzer identifiziert werden können. Zum einen ließen die Kombination aus der verbleibenden Ladezeit der Rechner in Sekunden und die in die Prozenten angegebene Akkukapazität präzise Rückschlüsse auf Geräte zu. Weil diese Werte nur alle 30 Sekunden aktualisiert werden, könnten in dieser Zeit mithilfe des APIs Nutzer identifiziert werden.

Wenn etwa ein Nutzer im Privatsphäre-Modus über ein VPN eine Website besucht, sollte es nicht möglich sein, ihn bei einem wiederholten Besuch der Seite auch ohne VPN zu identifizieren. Erfolgt der Besuch der Website mit und ohne VPN aber in einem kurzen Abstand, könnte auf den Nutzer rückgeschlossen werden. Die alte und die neue Identität der Nutzer könnte über die Informationen zur Akkulaufzeit miteinander in Verbindung gebracht werden, warnen die Forscher. Auf diese Art könnten auch Cookies oder andere Identifikationsmechanismen wiederhergestellt werden.