Hier waarschuwen privacyonderzoekers Lukas Olejnik en Artur Janc voor.
Op smartphones wordt de sensor onder meer gebruikt om de helderheid van het scherm automatisch aan te passen. Websites kunnen via de browser ook toegang krijgen tot deze sensor, mits de gebruiker hier toestemming voor geeft. De sensor heeft op deze manier toegang tot alle eerder bezochte websites, die ook toegankelijk zijn voor andere sites die de koppeling misbruiken.
Standaardenorganisatie World Wide Web Consortium (W3C) bespreekt op het moment of de sensorgegevens zonder toestemming door websites gebruikt mogen worden. Volgens Olejnik en Janc kan een website de sensor dan gebruiken om te achterhalen welke sites de gebruiker eerder heeft bezocht, zonder dat de gebruiker hier iets tegen kan doen.
Het is onduidelijk of hackers deze methode ook in de praktijk hebben gebruikt om surfgeschiedenis te stelen.
QR-codes
Een website kan via de lichtsensor ook gevoelige documenten en afbeeldingen stelen, via bijvoorbeeld een QR-code die via de lichtsensor wordt opgevangen. De lichtsensor kan kleurverschillen op het scherm namelijk herkennen en een QR-code op die manier uitlezen.
Het duurt relatief lang voor een dergelijke aanval is uitgevoerd. Volgens de onderzoekers duurt het ruim 8 minuten om de surfgeschiedenis te stelen. Het herkennen van een QR-code gaat iets sneller: dat duurt 3 minuten en 20 seconden.
Advies
De onderzoekers adviseren W3C om de frequentie van de sensor te beperken en ze minder nauwkeurige data te laten leveren aan websites. Volgens Olejnik en Janc is het beste om websites altijd om toestemming van de gebruiker te laten vragen.