Wie anoniem wil internetten via smartphone of laptop, kan toch verraden worden door de accustatus. Daarover schrijven veel media woensdag. De bedreiging voor de privacy is desondanks niet zo groot als het lijkt.
In Nederland publiceerden onder meer De Telegraaf en RTL Nieuws over het onderzoek, terwijl in Vlaanderen Het Laatste Nieuws en Datanews artikelen online zetten. De strekking van de artikelen is dat site-eigenaren en advertentiebedrijven gebruikers kunnen volgen, ook al gebruiken ze een vpn of andere maatregelen om anoniem te blijven. "Kwaadwillende webbouwers kunnen op die manier elke 30 seconden de batterijstatus opvragen en koppelen aan een gebruiker van wie ze die status al hadden. Zo kunnen gebruikers toch gevolgd worden", aldus RTL Nieuws.
Het onderzoek waarop de berichtgeving is gebaseerd, schept echter een genuanceerder beeld van de bedreiging van de privacy. Het onderzoek is onder meer uitgevoerd door onderzoekers van de KU Leuven, een Belgische universiteit. De bevindingen staan online in de paper 'The leaking battery'.
Het herleiden van gebruikers gebeurt in die methode via de 'battery status api' in html5. Deze vertelt het resterende accupercentage en de schatting van het aantal seconden dat de accu het nog zal volhouden, bijvoorbeeld om bij een bijna lege accu plugins uit te schakelen of video's die automatisch afspelen niet weer te geven. Er zijn volgens de onderzoekers 14 miljoen combinaties van gegevens, waardoor het makkelijk is iemand te identificeren aan de status van de accu.
Het punt is echter dat de accu gedurende het browsen leegloopt en elke dertig seconden geeft de smartphone of laptop een andere status. Daardoor is het mogelijk om een terugkerende bezoeker binnen dertig seconden te identificeren, maar wie lang daarna terugkeert, kan niet meer worden herkend. "Dat betekent dat in de praktijk het risico van tracking over langere periode met deze informatie te verwaarlozen is", aldus de onderzoekers. Wel is het mogelijk om meerdere apparaten met hetzelfde ip-adres, bijvoorbeeld van een bedrijf, van elkaar te onderscheiden.
Daar komt bij dat maar enkele browsers de 'battery status api' ondersteunen: Chrome, Firefox en Opera. Gebruikers van Internet Explorer, Edge, Safari of een andere browser kunnen dus niet gevolgd worden. Mozilla heeft bovendien Firefox al een paar maanden geleden gepatcht, waardoor de gegeven informatie minder precies is en tracking niet meer mogelijk is.
Hoewel Chrome en Opera voor laptops nog de precieze info over de accustatus doorgeven, doen de mobiele versies dat in elk geval niet. Die geven alleen het accupercentage door, maar omdat die maar 100 waarden kan hebben - van 1 tot 100 procent - is dat niet bruikbaar voor nauwkeurige tracking. Op desktops werkt het uiteraard helemaal niet. Als de api dan aangeroepen wordt, geeft die simpelweg aan dat de accu op 100 procent zit.