» »

Sledenje brskalnikom prek stanja baterije

Sledenje brskalnikom prek stanja baterije

Slo-Tech - Standard HTML5 predpisuje Battery Status API, prek katerega lahko spletna stran ugotovi, kako napolnjeno baterijo imate na mobilni napravi. Pridobi lahko podatek o napolnjenosti v odstotkih in o ocenjenem trajanju avtonomije ali predvidenem času polnjenja, če je priključena na polnilec. Namen tega je oceniti, kdaj naj strežnik pošlje varčno spletno stran, če je uporabnikova baterija pri koncu. Te podatke pa se da uporabiti tudi za sledenje uporabnikom pri brskanju po spletnih straneh, ugotavljata raziskovalca s Princetona.

Edinstvenih kombinacij omenjenih parametrov je približno 14 milijonov (zlasti ker je stanje napolnjenosti javljeno bolj natančno, kot je potrebno; Firefox je to že zakrpal), kar je v primerjavi s številom uporabnikov spleta malo, a še vedno dovolj, da lahko nekatere ugotovitve postavljamo s precejšnjo zanesljivostjo. Obstaja sicer kup natančnejših tehnik sledenja (piškotki, superpiškotki, IP, sistemske nastavitve itd.), a proti tem se je sorazmerno enostavno boriti. Če hkrati obiščemo dve spletni strani, ki strežeta isto reklamo, ki pokaže enake vrednosti parametrov baterije, je to znak, da gre z verjetnostjo 1:14.000.000 za isti računalnik. Dlje časa ko ostanemo na straneh in parametri ostajajo usklajeni na obeh straneh, višja je verjetnost, da gre za isti računalnik, pa četudi se na primer v eno stran povezujemo prek proxyja.

To so ugotavljali že lani, sedaj pa so odkrili, da na internetu dejansko obstojijo skripte, ki to še donedavna teoretično ranljivost, izkoriščajo. Ob tem seveda ne moremo mimo dejstva, ki ga je ugotovil že Uber - če imajo ljudje skoraj prazno baterijo, so za prevoz pripravljeni plačati več. Firefox že omogoča izklop funkcije, drugi pa ga bojda tudi dobijo.

19 komentarjev

twom ::

Pa kaj še, varčna spletna stran, isto kot kemično orožje v Iraku...

Ribič ::

Vse te funkcije bi morale v brskalnikih biti privzeto izklopljene.
Potem pa naj ljudje vklopijo le tisto kar zares potrebujejo.

matobeli ::

Tako ja, varčno delovanje, "mobilne spletne strani", bullshit.
Vedno je okrnjeno delovanje.

Naj raje vgradijo večjo baterijo za propper izkušnjo.

Matko ::

Vedno javljat prazno baterijo in upat, da bo kaj navlake manj ;(

MIHAc27 ::

Novo v naši restavraciji:

Če niste preveč lačni -Kosilo 4€
Če ste lačni - Kosilo 6€
Če ste sestradani: 10€

Ahim ::

Matko je izjavil:

Vedno javljat prazno baterijo in upat, da bo kaj navlake manj ;(


Ce nekatere stvari zaracunajo drazje potrosnikom s prazno baterijo ...

Tovrstno sranje sploh ne bi smelo obstajati.

Matko ::

Firefox
"about:config"
"dom.battery.enabled" > prestavit na "False" in ne javlja več

test preko
http://aurelio.audero.it/demo/battery-s...

Malajlo ::

Edge - API not supported. Pa toliko je za povedati okoli M$ spywarea...

matijadmin ::

To je veliko manj problematično kot grafiranje zgeneriranega audio signala v brskalnikih, ki ga mimogrede izvaja že večina CDN-jev. Pa tudi zelo natančno je in losaš se ga le, če onemogočiš JS.
Vrnite nam techno!

matijadmin ::

Vrnite nam techno!

jukoz ::

matijadmin je izjavil:

To je veliko manj problematično kot grafiranje zgeneriranega audio signala v brskalnikih, ki ga mimogrede izvaja že večina CDN-jev. Pa tudi zelo natančno je in losaš se ga le, če onemogočiš JS.


??

Lahko malo bolj razložiš?

matijadmin ::

Sem dal povezavo do študije, ki v grobem razloži tehnično plat (AudioContext Fingerprintinga) in tudi obravnava pojavnost v spletu. Ta pa je zaskrbljujoča.

Še preskus: https://audiofingerprint.openwpm.com
Vrnite nam techno!

Afo ::

Matko je izjavil:

Firefox
"about:config"
"dom.battery.enabled" > prestavit na "False" in ne javlja več

test preko
http://aurelio.audero.it/demo/battery-s...


super, zdej pa naredi to samo še za 300 drugih stvari pa si zmagal... aja ups, ne nisi ker so ravnokar dodali novega
Bolje biti mlad in neumen, kot samo neumen!

Markoff ::

jukoz je izjavil:

matijadmin je izjavil:

To je veliko manj problematično kot grafiranje zgeneriranega audio signala v brskalnikih, ki ga mimogrede izvaja že večina CDN-jev. Pa tudi zelo natančno je in losaš se ga le, če onemogočiš JS.


??

Lahko malo bolj razložiš?

Mislim, da kolega navaja primer sledenja, ko uporabniku generiraš zvočne signale, ki jih uporabniki ne slišijo, naprave (in živali?) pa. In cel kup naprav (hint: smartphones) okoli nas ima mikrofone, s katerimi lahko slediš temu zvoku, s čimer zelo natančno ugotoviš lokacijo uporabnika. Preko proxyja.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

MrStein ::

Namen tega je oceniti, kdaj naj strežnik pošlje varčno spletno stran, če je uporabnikova baterija pri koncu.

Torej bi bil dovolj en bit informacije, pošlje pa se mu 10, 20, 30 ?

Hej, vzemite mojo plačilno kartico, tu je moj PIN, pa še podpis če slučajno rabite, pa si vzemite z računa koliko rabite, potem pa mi vrnite. Zaupam vam.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

matijadmin ::

Markoff je izjavil:

jukoz je izjavil:

matijadmin je izjavil:

To je veliko manj problematično kot grafiranje zgeneriranega audio signala v brskalnikih, ki ga mimogrede izvaja že večina CDN-jev. Pa tudi zelo natančno je in losaš se ga le, če onemogočiš JS.


??

Lahko malo bolj razložiš?

Mislim, da kolega navaja primer sledenja, ko uporabniku generiraš zvočne signale, ki jih uporabniki ne slišijo, naprave (in živali?) pa. In cel kup naprav (hint: smartphones) okoli nas ima mikrofone, s katerimi lahko slediš temu zvoku, s čimer zelo natančno ugotoviš lokacijo uporabnika. Preko proxyja.


Pišeš o nečem drugem, ali pa nimaš pojma, o čem sploh pišeš.

Za potrebe sledenja z metodo AudioContext Fingerprinting zvoka dejansko sploh ni potrebno nadalje pošiljati napravi v predvajanje, tako v prostoru ob napravi sploh ne nastaja noben (tudi neslišen ne) zvok. Za identifikacijo pa se uporablja graf zgeneriranega kot "prstni odtis" naprave (tako ni nobene potrebe po 3. napravah (kot si omenil tale proxy).
Vrnite nam techno!

Ghost7 ::

Dlje časa ko ostanemo na straneh in parametri ostajajo usklajeni na obeh straneh, višja je verjetnost, da gre za isti računalnik, pa četudi se na primer v eno stran povezujemo prek proxyja.

Torej kao lažje odkrivanje hekerjev, oziroma onemogočanje skrivanja. Vse za vašo varnost!

Ali pa do nedavnega si imel v Ameriki najet za par dolarčkov in si posredoval recimo Netflix. Sedaj te bo Netflix dojel zaradi baterije. Glej, glej tip je hkrati v Ameriki in EU, ziher nas je pretental (čeprav nam plačuje storitev v Ameriki). Blokada! Pa še tožili ga bomo.

Ampak nič ne de, vse za vašo varnost...

matobeli ::

mitjadmin:
če bi onemogočil audio napravo (software disable), bi to preprečilo tako sledenje ali ne?

Zgodovina sprememb…

  • spremenilo: matobeli ()

matijadmin ::

matobeli je izjavil:

mitjadmin:
če bi onemogočil audio napravo (software disable), bi to preprečilo tako sledenje ali ne?

Žal ne, le, če bi onemogočil JS v brskalniku (ampak potem je brskalnik za večino potreb uporabnika tako ali tako neuporaben). Ker to generiranje z audio napravo dejansko nima nič. Če bi onemogočil fizično napravo, kar je brez pomena, bi ne mogel predvajati pretočnih vsebin, ki itak prihajajo s "problematičnih" CDN infrastruktur. Ko dejansko ne rabiš zvoka, bi morda še sam nek dovolj naključen šum generiral, naključno gonil CPE, mrežo ter druge naprave. To bi imelo vpliv na tiste karakteristike v grafu zgeneriranega, ki se jih uporablja v namen identificiranja.

Res sem se z uporabo termina naprava nekoliko zapletel, ker sem enkrat mislil audio napravo, drugič na PC in tretjič na nek tretji PC ali napravo, ki naj bi zajemala (kar sem pojasnil, da ni potrebno). Se opravičujem.
Vrnite nam techno!


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Enolično prepoznavanje brez piškotkov in naslova IP

Oddelek: Novice / Zasebnost
287357 (5130) Horejšio
»

Sledenje brskalnikom prek stanja baterije

Oddelek: Novice / Zasebnost
197726 (5754) matijadmin
»

Hitrost praznjenja baterije izdaja lokacijo

Oddelek: Novice / Zasebnost
177642 (4795) CaqKa
»

Apache ignorira zastavico DNT v Internet Explorerju 10

Oddelek: Novice / Zasebnost
259081 (7583) SplitCookie
»

Profiliranje uporabnikov brez piškotkov

Oddelek: Novice / Android
276540 (5277) MrStein

Več podobnih tem