De Battery Status API is aanwezig in alle mobiele webbrowsers (smartphones, tablets en laptops) en kan worden gebruikt om te checken hoe vol de accu nog is. Bedrijven zouden daarop in kunnen spelen door lichtere versies van websites te tonen als de batterij bijna leeg is. De onderzoekers ontdekten echter ook enkele scripts die een stapje verder gaan en gebruikersprofielen bouwt op basis van informatie uit de accu.

Combineren gegevens

Andere onderzoekers ontdekte in 2015 al dat accu-informatie zou kunnen worden gebruikt om bezoekers te "fingerprinten". Uit dat onderzoek kwam naar voren dat de API zowel beschikbare energie als de volledige accucapaciteit kan ophalen en dat deze gecombineerde gegevens een unieke "vingerafdruk" oplevert die één keer op de 14 miljoen keer voorkomt.

Steve Engelhard en Arvind Narayanan van de Princeton universiteit hebben op basis van deze gegevens een privacy-tracking tool gemaakt genaamd OpenWPM. Met deze tool hebben zij twee scripts ontdekt die de Battery Status API gebruiken om apparaten te volgen.

Privacyprobleem

Gebruikers kunnen op deze manier gevolgd worden. Het maakt daarbij niet uit of gebruikers extra maatregelen hebben getroffen om hun privacy te beschermen, zelfs als zij incognito browsen, cookies en cache wissen of verschillende browsers gebruiken.

"Bestaande privacytools zijn niet effectief en kunnen deze nieuwe, obscuurdere fingerprinting-technieken niet blokkeren. Tools als Ghostry, uBlock Origin en zelfs VPN's kunnen niet voorkomen dat websites je tracken aan de hand van je Battery-ID," aldus Engelhard en Narayanan. Dit is mogelijk omdat de Battery Status API gebruikt kan worden zonder permissies. Hierdoor kan elk script deze informatie opvragen.