Datenschutzbedenken: Mozilla entfernt Akku-Fingerprinting aus Firefox
Mit der Battery Status API konnten Websites den Ladezustand eines Gerätes abfragen. Doch diese Funktion kann Nutzer auch identifizierbar machen.
Die erst im Frühjahr vom W3C offiziell eingeführte Battery Status API bekommt wegen Privatsphären-Problemen Gegenwind. Die Entwickler des Browsers Firefox entfernten die Funktion aus der kommenden Version 52 des Open-Source-Browsers nun vollständig.
Keine Nachfrage beim Nutzer
Die bereits 2012 in Firefox integrierte Funktion wurde vom W3C zunächst als unkritisch eingestuft. Während Browser in der Regel nachfragen, bevor eine Website über die Browser-API den Standort eines Nutzers anfordern darf, kann der Akkuzustand in vielen Browsern in der Standardeinstellung ohne Benutzerintervention abgefragt werden. Theoretisch lässt sich diese Funktion dafür nutzen, um rechenintensive Funktionen einer Website wie selbständig abspielenden Videos zu unterbinden, wenn der Nutzer dafür keine Akkukapazitäten mehr zur Verfügung hat.
Die praktische Umsetzung erwies aber als erstaunlich auskunftsfreudig, wie mehrere Forscher in einer Studie feststellten. So wurde der Ladezustand teilweise auf sechs Nachkommastellen übermittelt, auch exakte Daten zur benötigten Nachladedauer von Notebook, Tablet oder Smartphone wurden vom Browser verraten. Mit ein paar Abfragen konnten die Forscher zudem die Batteriekapazität ermitteln und so einen dauerhaften Identifizierungswert generieren.
Akkuzustand als Fingerabdruck
Diese Möglichkeit wurde auch praktisch genutzt: So fanden Forscher der Princeton University in einer weiteren Studie zwei Skripte, die mit Hilfe der Akku-Werte Nutzer identifizierten, auch wenn diese Cookies gelöscht hatten. Dieses Browser-Fingerprinting kann dann genutzt werden, um einem Nutzer neue Cookies zuzuweisen, die ihn dauerhaft kennzeichnen oder ihn auf anderen Websites zu identifizieren. Websites, die die API-Funktion nutzten, um tatsächlich den Akku des Nutzers zu schonen, entdeckten die Forscher hingegen nicht.
Neben Firefox unterstützen auch Chrome und Chromium-basierte Browser die Battery Status API. Eine Testsite zeigt dem Nutzer, ob die Funktion aktiviert ist. Wer sich vor solchem Akku-Fingerprinting schützen will, bevor die Firefox-Version 52 im kommenden Frühjahr erscheint, kann die Konfigurations-Seite about:config öffnen und dort die Funktion "dom.battery.enabled" deaktivieren. (jo)
