[Technik] Nutzer lassen sich über den Status des Akkus verfolgen

In HTML 5 ist ein API vorhanden, über das man als Seitenbetreiber den Akkustatus der Geräte von Besuchern auslesen kann. Dies soll z. B. ermöglichen, dass Seitenbetreiber bei einem fast leeren Akku eines Besuchers eine energiesparende Version der Seite ausliefern können. Die Browser Firefox, Chrome und Opera unterstützen dieses Funktion seit ungefähr einem Jahr. Dies lässt sich laut zwei Sicherheitsforschern der Princeton University auch missbrauchen um Besucher zu verfolgen. Die Rede ist hier auch von einem "Super-Super-Cookie" (angelehnt an die bekannten Super-Cookies).

Anhand einer Kombination des Verbrauchs pro Sekunde und der Lebensdauer eines Akkus lassen sich laut den Forschern 14 Millionen Kombinationen erstellen um damit bestimmte Geräte zu verfolgen. Ein weiterer Forscher im Bereich Sicherheit konnte zudem bereits feststellen, dass diese Art von Tracking bereits aktiv von diversen Unternehmen eingesetzt wird, da er zwei weit verbreitete Scripts gefunden hat.

Quelle: thehackernews.com

 

[mathmos]

Mir würde da ja noch ein zweiter Einsatzzweck in den Sinn kommen. Nehmen wir mal an, dass der Akku meines Notebooks ist bei zwei Prozent. Ich will aber noch hurtig etwas bestellen. Aus Betreiber eines Onlineshops könnte man nun bei solchen Kandidaten den Preis von Artikel X deutlich teurer anzeigen lassen, da diese weniger Zeit haben um Preise zu vergleichen.

 

[electric.larry]

@mathmos: Diese Idee hatte Uber offenbar schon vor dir Im Original-Artikel heisst es dazu:

Over two months ago, Uber's head of economic research Keith Chen said the company had been monitoring the battery life of its users, as it knows users are more likely to pay a much higher price to hire a cab when their phone's battery is close to dying.

 

[mathmos]

Die Zitate habe ich ehrlich gesagt nicht gelesen, da ich davon ausging dass da nichts erwähnenswertes steht. Naja... Zwei Dumme, eine Meinung.

Aber ich finde es schon bedenklich, was man mit solchen Funktionen machen kann. Ich würde mich jetzt durchaus als technikaffin bezeichnen. Aber das man mit HTML 5 den Batteriestatus auslesen kann, war mir nicht bekannt. Wie soll so etwas dann Lieschen Müller wissen? Und vor allem, was soll sie dagegen machen?

 

[godlike]

Was zur Hölle Außer wenn man mal in ner fremden Stadt ist, wo man viel mit Maps navigiert, geht einem der Saft vom Handy oder Smartphone doch nicht einfach so aus. Selbst im Zug, Flugzeug, Cafe, Kneipe, Bar, Restaurant hats Steckdosen. Und die ganzen Pokemon-Nerda haben doch eh ne Powerbank. Also mein Akku war in den letzten Jahren selten unter 10%. Notebook noch weniger da man da wo man was macht meistens eh ne Steckdose hat. Aber krass das man so was dann wirklich noch zur "Spionage" bzw. Kapitalismus nutzen kann.

Ob man aber wirklich unterwegs mal so dringend was bestellen muss, der Akku fast leer ist, und man dann bereit ist mehr zu bezahlen? Wobei, sag niemals nie. Erst recht nicht in Zeiten wo im Park mehr Menschen aufs Handy gaffen als auf Frauenärsche

 

[electric.larry]

Ich hab wirklich Respekt vor den Leuten, die sich solche "Sidechannel Angriffe" einfallen lassen, dazu muss man wirklich kreativ sein.

Mich bekräftigt dieses Thema aber wieder in der Annahme, dass es einfach notwendig ist, hier anständige Gesetze zu erlassen, die die Nutzung der verfügbaren Daten regeln bzw. für gewisse Zwecke verbieten. Von einem Normal-Nutzer (denke da an meine Mutter) kann man einfach nicht erwarten, dass er sich mit technischen Mitteln gegen soetwas wehrt.

 

[mathmos]

@godlike:

Mir passiert das schon ab und zu, dass der Akku leer ist und keine Powerbank (habe gar keine) oder ein Ladekabel im Reichweite ist (bzw. ich zugegeben einfach zu faul bin es zu holen.). Allerdings bestelle ich in solchen Fällen nichts (blöd wenn z. B. mitten im Bezahlen mit Paypal die Kiste den Abgang macht).

 

[electric.larry]

Der Artikel mit den Details zu dem Uber-Akku-Thema ist wirklich lesenswert.

Spoiler

Riders aren't always rational in their hatred for surge. For example, you're more likely to take an Uber when it's surging 2.1 times than 2.0. Why? Well, it might be helpful to look at another company: eBay. Economists found sellers who priced their goods with round numbers (i.e. $50 instead of $49) sold their items quicker. The researchers hypothesize that round numbers signal the sellers' impatience to sell and, thus, their willingness to accept a lower price. In other words, round numbers signal carelessness or imprecision.

From an Uber rider's perspective, Keith says, a round number surge like two times looks like the company is just slapping on a higher price tag because it's raining. But when it's 2.1 times as much, we think there must be a complex algorithm (which there is) coming up with that figure. The ride, then, is surely worth 2.1 times as much.

Uber has also found people are more likely to pay for surge if their cell phone is almost out of battery. Your immediate question is probably: how the hell does Uber know how much battery my phone has?! Well the app uses that information to know when to go into power saving mode. Keith promises the company doesn't use that information to set prices, but, it's certainly an interesting little (and potentially very valuable) factoid your local taxi driver isn't aware of.

Before Keith was at Uber, he was an economist at Yale, where he taught monkeys how to use money. No, really. And get this: monkeys make the same dumb choices humans do! For example, monkeys also suffer from something called "loss aversion," or the tendency to experience losses as more painful as the pleasure of gains. This raises an interesting question for Uber's pricing: why not make the normal price twice as much and then offer discounts when business is slow? Riders would love it! But... drivers would hate it.

 

[godlike]

Naja, mein Akku hält mir knapp zwei Tage bei seltener Handynutzung (sprich wenns wo auf dem Tisch liegt, man ab und an WA nutzt). Weiß ich das ich es öfter brauche (fremde Stadt, Reise) sorge ich da ja eh vor bzw. geh halt alle paar Stunden was essen oder einen Cafe trinken zum laden Bestellt hab ich mit dem Handy eh noch nie was außer bei Google Play Musik

Könnte mir aber vorstellen das man dafür bald eine Berechtigung in Android einstellen kann. Ungefragt ist so was ja schon dreist.

 

[electric.larry]

Die Battery Status API kann in Firefox deaktiviert werden:

• about:config öffnen
• nach "battery" suchen
• dom.battery.enabled auf FALSE setzen

Ob die Funktion deaktiviert wurde, kann hier getestet werden. Funktioniert bei mir im FF unter Linux und Android.

Interessant auch, was die W3C Seite zu dem Thema hinsichtlich der Sicherheit schreibt:

4. Security and privacy considerations

This section is non-normative.

The API defined in this specification is used to determine the battery status of the hosting device.

The user agent SHOULD not expose high precision readouts of battery status information as that can introduce a new fingerprinting vector.

The user agent MAY ask the user for battery status information access, or alternatively, enforce the user permission requirement in its private browsing modes.

The user agent SHOULD inform the user of the API use by scripts in an unobtrusive manner to aid transparency and to allow the user to revoke the API access.

The user agent MAY obfuscate the exposed value in a way that authors cannot directly know if a hosting device has no battery, is charging or is exposing fake values.

--- [2016-08-03 14:29 CEST] Automatisch zusammengeführter Beitrag ---

Auf Stackexchange findet man auch noch ein Script, das die Battery API in FF und Chrome dsiablen soll. Die Anwendung des Scripts ist aber eher umständlich. Eventuell könnte man es als Browser Addon umsetzen.

 

[Novgorod]

Mich bekräftigt dieses Thema aber wieder in der Annahme, dass es einfach notwendig ist, hier anständige Gesetze zu erlassen, die die Nutzung der verfügbaren Daten regeln bzw. für gewisse Zwecke verbieten.

im internet herrscht das gesetz des geldes - hier etwas zu ändern ist schwieriger als kickass-torrents zu busten ..

viel einfacher wäre es, wenn die browserhersteller bei allen gerätespezifischen (d.h. privaten) daten endlich mal konsequent und ausnahmslos opt-in umsetzen! und falls bestimmte seiten ohne diese daten garnicht funktionieren, bekommen sie halt standardwerte vorgesetzt - vielleicht mit einer kleinen info an den user, dass er dieser seite ggf. gewisse berechtigungen erteilen kann, falls sie fehlerhaft angezeigt wird (z.b. sowas wie auflösung oder systemsprache).. problematisch ist es natürlich auf mobilgeräten, wenn es für jeden mist eine eigene app gibt (die in der regel nichts weiter als ein browser ist), dann müsste sich eigentlich das OS um den sicherheits-layer dazwischen kümmern.. aber da android ja eher werber- als benutzerfreundlich ist, geht das sicher nur mit root-gebastel - allein schon weil rechte nur gewährt oder verweigert werden können, statt der app ("fake") standardwerte zu übergeben..

dem gemeinen DAU bringt das alles natürlich nichts, weil er in seiner nonchalanten unwissenheit den standardeinstellungen seiner bevormunder ausgeliefert ist - und die gesetzeslage spiegelt nunmal den momentanen geisteszustand der gesellschaft wider, d.h. mit einer minderheitenmeinung muss man sich eben selbst um sein eigenes wohl kümmern..

 

[Mr. White]

Ein Grund mehr warum man auf jeden Fall ScriptSafe o.ä. nutzen sollte.

Spoiler

Gibt es unter Android eigentlich auch schon Möglichkeiten Fingerprinting zu unterbinden?