Din telefons batteriniveau kan afsløre din identitet online

Hjemmesider kan bruge enheders batteriinformation til at tracke brugere, der surfer anonymt.

En feature i HTML5 giver hjemmesider mulighed for at aflæse batteriniveauet på en besøgendes telefon, tablet eller bærbar. Den information kan bruges til at kompromittere brugerens privacy, mener forskere. Det skriver The Guardian.

Læs også: Erhvervsstyrelsen slår fast: Cookie-lov gælder også device fingerprinting

Batteri-informationen kan tages uden brugersamtykke, fordi den ifølge W3C har ’minimal betydning for privacy og fingerprinting’. Men den vurdering skydes nu ned i en forskningsartikel fra franske og belgiske sikkerhedseksperter.

Læs også: Biometriske adfærdsdata er ny supercookie der omgår cookie-loven

Enheden opgiver nemlig batterinformation i form af levetid tilbage i sekunder og procent. De to tal kan sammen have 14 millioner kombinationer, hvilket gør batteriinformation til et effektivt ID. Samtidig opdateres tallene kun hvert 30 sekund, og kan på den måde afsløre brugeren på tværs af sites.

Funktionen kan for eksempel afsløre en bruger, der sletter cookies eller går på nettet med browserens inkognito-tilstand.

Læs også: Kommuner bruger suspekt tracking-cookie

»Når gentagende besøg sker med korte mellemrum, kan hjemmesiden kæde brugerens nye og gamle identitet ved at udnytte batteriniveau. Hjemmesiden kan derefter genindsætte brugerens cookies og anden identifikation – en metode, der kaldes respawning,« forklarer forskerne i artiklen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Daniel Gertsen

Måske er det en del af den teknik Politiken.dk benytter?

De er i hvert fald skræmmende gode til at tracke brugere på tværds af både browsere og incognito tilstand, når de tæller op hvor mange artikler man får læst.

Det er i hvert fald ikke kun cookies de benytter, når de kan spore en ind i en anden browser eller incognito tilstand.

  • 0
  • 2
Daniel Gertsen

Ikke sidste gang jeg forsøgte - og cookies burde jo ikke tælle med i en anden browser eller incognito vindue?

Det er dog ca. 1½ måned siden nu, droppede sitet lidt, efter at have kigget nogle tegneserier igennem, og derved fik jeg brugt min "kvote" for en måned på et par minutter. Det irriterede mig lidt.

  • 0
  • 0
Rune Jensen

Jeg besøgte bare artiklen med en anden browser, og det virkede.

Jeg troede egentlig at Politiken blokerede på en binding til IP.

Problemet er jo, man er nødt til at have mere end bare IP adresse, hvis man vil tracke uden cookies, ellers risikerer man at blokere for mange brugere på samme IP. Man kan f.eks. binde IPen til bestemte data i user agent. Hvilket var hvad jeg egentlig troede at politiken gjorde.

Det er en nem metode, som også nemt kan implementeres. Forholdsvist sikker overfor den "generelle bruger", og så kan man ikke egentlig sige det er tracking heller. Ifht. det formål som Politiken har - at sørge for, at den samme bruger kun kan læse den samme artikel et vidst antal gange. Og når det er indenfor samme domæne.

Der ligger så en faldgrube i binding til IP, nemlig Opera Turbo. Her er man nødt til at have IPen bag proxyen - tog mig lidt tid at finde ud af - ligesom Google translate også kan mudre det. Men begge services sender IPen bag i en anden header.

Idéen om binding er fantastisk til antispam iøvrigt.

Men nej - jeg tror egentlig ikke, at Politiken benytter særlig avancerede sporingsteknikker til lige det med artiklerne. for det er der vel sådan set ikke behov for til formålet. KISS som man siger.

  • 1
  • 0
Thomas Jensen

Der er også den mulighed at betale for ubegrænset at kunne læse alle artikler. Politiken er faktisk uhørt billig, ikke mindst sammenlignet med andre aviser. 66 kr pr. md, eller det halve (!) hvis man betaler for et år ad gangen. Information tager fx. 200 kr pr. md, jp og berlingske endnu mere.

Jeg har sagt det før, og gør det gerne igen - hvis vi ikke gider se på reklamer og blive tracket/profilere via 3. parts cookies, så er vi nød til at erkende, at vi må begynde at betale. Jeg synes vi skal kræve at kunne betale, for at slippe for reklamerne og profileringen.

Folk læser ikke papiraviser mere, og hvis ikke vi er villige til at betale for at læse dem på nettet, så er de tvunget til at dreje nøglen om, eller finde andre måder at financere butikken på. Lige nu er reklamer det foretrukne valg og i mine øjne er der kun en måde at få dem til at skrue ned for den indtægtskilde - og det er hvis tilstrækkelig mange bliver online-abonnenter.

Euroman lavede en kampagne mod brugere af adblockplus, hvor de tilbød reklamefri adgang i en måned for 19 kr. Det var der sølle 20 der havde taget imod... Det er jo en skandale! Vi er simpelthen nød til at tage konsekvensen af vores uvilje mod reklamer og begynde at betale for de produkter vi forbruger.

  • 6
  • 1
Tomas Ussing

Der er også den mulighed at betale for ubegrænset at kunne læse alle artikler

Det var også min første tanke, Thomas :-)

Tænk hvis tråden gik på f.eks. det at undgå overvågningskameraer i supermarkedet med henblik på at få gratis varer ind under jakken. F.eks. hvordan man får en hel flaske vin med ud af butikken uden at skulle betale, i forbindelse med at butikken har tilbudt dig en smagsprøve på en Amarone i et snapseglas.

  • 3
  • 0
Knud Jensen
  • 3
  • 0
Thomas Jensen

Jeg er så ikke bekendt med nogen steder som holder op med tracking/reklamer bare fordi man begynder at betale.

Nej, du har en pointe. Men omvendt, du slipper heller ikke for reklamer i papiravisen, selvom du betaler 4.000 om året i abonnement. Jeg har dog et lille håb om, at jo flere der betaler, des mindre er de afhængige af at plastre siderne til med reklamer - både på papir og online.

Og min pointe er, at hvis ikke vi betaler (min drøm er mikrobetaling, men ellers abonnement), så er det direkte hyklerisk at brokke sig over reklamer og tracking. Hvis vi gerne vil læse aviserne, så må vi være voksne nok til at erkende, at de skal finansieres.

Personligt synes jeg ikke reklamer er en etisk forsvarlig model. Jeg ville selv aldrig basere en forretning på den model (fx. apps med reklamer). Men det er den model mange bruger, og som forbruger har man to valg - enten fravælge at bruge produktet, eller kræve en anden betalingsmodel. (Ja, man har også en tredje: at stjæle produktet...)

Vi må skrive til Version2 (og andre "gratis" steder) og fortælle dem, at vi sætter pris på deres artikler, men at vi ikke bryder os om deres model med 20 cookies på hver side - og at vi gerne vil betale for at læse deres artikler.

  • 1
  • 1
Rune Jensen

Og hvad i alverden skal en web applikation egentligt bruge den information til. Med et sekunds nøjagtighed! Min indikator viser altså kun minutter.

Sikkerhed beskrives som et argument.

Det giver sådan set også mening. Batteriet kan jo blive den ene faktor i multi-faktor sikkerhed.

Lad os sige jeg logger på en web-applikation med korrekt password og med 32% batteri. Igennem hele den session vil web-applikationen så kunne identificere mig på <=32% batteri plus en anden faktor.

Dvs. en cookie som er bundet til både batteri plus noget andet ikke umiddelbart kan stjæles. En evt. cracker er nødt til også at vide dit batteriniveau for at kunne bruge cookien.

Hvis du kigger på panopticlick, så bruges alle de nævnte metoder allerede som en faktor, når du logger ind på diverse web-services, for at forøge sikkerheden.

Der er en tech talk på youtube med statistik over brugen af fingerprinting, uden jeg kan huske hvad videoen hedder (men må være noget med browser fingerprinting). Her nævnes også, hvor stor en andel sikkerhed har ifht. egentlig sporing; reklame/spying mv. Porn sites er SVJH ret langt fremme med de teknikker, det kom så ikke som en overraskelse.

Men sikkerheden er nok den officielle grund til man ikke kan dræbe de her fingerprinting teknikker. At de også kan udnyttes ondartet (og nok i al rigelig grad bliver det) er en simpel afvejning af privacy vs. økonomiske omkostninger. Set i forhold til, at password-beskyttet login i sig selv ikke længere er helt så sikkert som førhen. Og så hvor meget sløsen med sikkerheden, kan koste fx. en bank.

Problemet med netop aflæsning af batteriniveau - nogle forsøg har vist, det koster forholdsvist meget batteri at aflæse batteriet. Hvilket kan ende med at give en dårlig brugeroplevelse.

  • 1
  • 0
Jannik Graversen

Version2 kan blive så gaab.. artikler, gætterier, spekulationer og kommentarer der ikke kan fattes på under 100 ord skrives netop typisk af folk som ikke ved hvad de snakker om... Nævn mig een problem-stilling, som du kender til og som kan IKKE redegøres på max 200 ord. I øvrigt en dødfattig artikel og måse derfor mit udbrud... så bær over med mig..

  • 0
  • 0
Kjeld Flarup Christensen

Lad os sige jeg logger på en web-applikation med korrekt password og med 32% batteri. Igennem hele den session vil web-applikationen så kunne identificere mig på <=32% batteri plus en anden faktor

For det første, så behøver man ikke sekunder til det.
Og for det andet kan hackeren jo blot sætte sit batteriniveau til 1%, applikationen skal så til at vurdere hvad der er rimeligt at acceptere i hop.

Problemet med netop aflæsning af batteriniveau - nogle forsøg har vist, det koster forholdsvist meget batteri at aflæse batteriet. Hvilket kan ende med at give en dårlig brugeroplevelse.


Måske derfor tallet kun opdateres hvert halve minut eller mindre. En simpel løsning ville være kun at rapportere i hele minutter og procent. Måske endda 10 minutters intervaller og 5% intervaller. Det ville reducere misbrugsrisikoen væsentligt.

  • 0
  • 0
Log ind eller Opret konto for at kommentere