Mozilla wirft Akku-Fingerprinting-API aus Firefox raus

Wichtig: Mit der Battery Status API können Webseiten über den Akkustand eines Gerätes Akku-Fingerprinting betreiben. abfragen.

Akku-Fingerprinting
Grafik CPOA, thx! (CC BY-ND 2.0)

Mozilla hat kürzlich auf Datenschutzbedenken reagiert und die „Battery Status API“ für Akku-Fingerprinting entfernt. Mit dieser konnten Webseitenbetreiber den Akkustand eines Gerätes ihrer Besucher abfragen. Allerdings konnte diese Funktion (Akku-Fingerprintin) Nutzern und ihren Smartphones auch einen eindeutigen Fingerabdruck verpassen. Darüber berichtete das IT-Portal heise.de.

Akku-Fingerprinting zu verräterisch

Das Tracking der Webseitenbesucher hat in den letzten 20 Jahren sehr stark zugenommen. Die Werbeindustrie will damit so viel wie möglich über unsere Freizeitaktivitäten, Vorlieben und unser Konsumverhalten erfahren. Dabei wendet man immer neue Methoden an, wie etwa EverCookies, Canvas Fingerprinting oder Hardware Fingerprinting. So auch das Akku-Fingerprinting.


Die erst im Frühjahr eingeführte Battery API auf Basis von HTML5, die dazu dient einer Webseite den Ladezustand des Gerätes zu übermitteln, wird im Firefox wieder entfernt:  Die Entwickler des Open-Source Browsers Firefox löschten kürzlich diese Funktion. Die im Frühjahr kommende Version 52 kommt somit ohne dieses Feature.

Während Browser im Regelfall nachfragen, bevor eine Website über die Browser-API den Standort eines Nutzers anfordern darf, kann der Akkuzustand in vielen Browsern in der Standardeinstellung ohne das Wissen des Nutzers übermittelt werden. Eigentlich ist die Funktion ganz praktisch, denn besonders rechenintensive Funktionen einer Website, wie beispielsweise abzuspielende Videos, blockt die API im Bedarfsfall. Man blockt mithilfe vom Akku-Fingerprinting also die Akkufresser.

Leider ist laut einer Studie der Datenschutz in Gefahr: Die Forscher fanden heraus, dass der Ladezustand teilweise auf sechs Nachkommastellen übermittelt wird, ebenso Daten für die benötigte Nachladezeit des Gerätes. Durch einen Mix dieser beiden Daten und der Akkukapazität lässt sich ein exakter Fingerabdruck generieren. Das World Wide Web Consortium (kurz W3C) versuchte im Sommer dieses Jahres die Besorgnis der Datenschützer zu beschwichtigen.

Der Ladezustand des Akku als Fingerabdruck?

Das Akku-Fingerprinting haben viele Firmen selbstverständlich auch fleißigst zum Tracking verwendet. So fanden Forscher der Princeton University in einer weiteren Studie zwei Scripts. Diese identifizierten den Nutzer durch die Akku-Werte, selbst wenn die Cookies nach dem Besuch gelöscht hat. Dieses Browser-Fingerprinting kann eingesetzt werden, um Nutzern personenbezogene Cookies zuzuweisen, die ihn dauerhaft brandmarken und ihn auf anderen Webseiten wiedererkennen. Ironischerweise haben die Forscher keine einzige Webseite gefunden, welche die Funktion für ihren eigentlichen Sinn verwendet. Nämlich schlichtweg den Akkustand auszuwerten, um Akkufresser abzuschalten. Also ist der Rauswurf der API für die Nutzer somit kein Verlust, ganz im Gegenteil.

Neben Firefox unterstützen auch Chrome (bzw. alle Chromium-basierte Browser) die Battery Status API. Diese Testseite zeigt dem Nutzer, ob die Funktion Akku-Fingerprinting aktiviert ist. Wer sich nicht bis zum Rauswurf durch ein Update gedulden will, kann die Config-Seite „about:config“ in seinem Firefox öffnen und dort die Funktion „dom.battery.enabled“ ausschalten. Wer seinen Firefox absichern will, dem können wir hier dabei behilflich sein.

Tarnkappe.info