Onderzoekers stelen webgeschiedenis via lichtsensor telefoon

De webgeschiedenis van sommige smartphones en laptops kan gestolen worden via de lichtsensor op die apparaten.

Handig, zo’n lichtsensor op je telefoon of laptop, dan staat het scherm in het donker tenminste niet te fel. Je zou denken dat zo’n sensor maar een sensor is, toch kunnen hackers ook hier misbruik van maken. Dat tonen privacyexperts Lukas Olejnik en Artur Janc aan in hun onderzoek.

De onderzoekers nemen daarbij de methode onder de loep die veel websites gebruiken om toegang te krijgen tot de lichtsensor, die door apparaten wordt gebruikt om automatisch de helderheid van het scherm aan te passen. De mogelijkheid zit in het ‘standaardpakket’ van het World Wide Web Consortium (W3C), en is bedoeld om mobiele sites beter te laten concurreren met native apps.

Olejnik en Janc kwamen er achter dat sites die de sensor gebruiken, via de sensor kunnen zien welke sites de gebruiker eerder heeft bezocht. Dat gebeurt op een even gewiekste als omslachtige manier. Via de sensor kunnen de onderzoekers herkennen welke kleuren het scherm weergeeft, en gegevens op die manier stukje bij beetje uitlezen. Daarbij kan bijvoorbeeld ook worden nagegaan welke links de gebruiker al heeft bezocht, ook kunnen afbeeldingen en qr-codes op het scherm worden uitgelezen.

Heel langzaam

De detectie van zaken op het scherm gaat wel langzaam: het duurt ruim drie minuten om een kleine qr-code uit te lezen, en ruim een half uur om een kleurenafbeelding zonder toestemming te bekijken. Maar een zinnetje tekst is binnen een minuut af te kijken, en de 1000 populairste URL’s in de geschiedenis van de gebruiker zijn in zo’n acht minuten gestolen, zonder dat de gebruiker dat merkt. W3C onderzoekt nu of sites wel zomaar toegang moeten krijgen tot de lichtsensor van telefoons.