De omgevingslichtsensor waar smartphones en sommige moderne laptops over beschikken kan worden gebruikt om de surfgeschiedenis van mensen te stelen, alsmede gevoelige informatie zoals qr-codes die toegang tot accounts geven, zo waarschuwen privacyonderzoekers Lukasz Olejnik en Artur Janc.

De sensor wordt bijvoorbeeld gebruikt om de helderheid van het scherm automatisch aan te passen. Websites kunnen ook van deze lichtsensor gebruik maken, maar moeten hier toestemming van de gebruiker voor hebben. Binnen de standaardenorganisatie World Wide Web Consortium (W3C) wordt nu overlegd of bepaalde sensorgegevens zonder toestemming door websites kunnen worden gebruikt. Volgens Olejnik en Janc is dit een risico. Een website zou namelijk de lichtsensor kunnen gebruiken om te achterhalen welke websites de gebruiker eerder heeft bezocht.

De link van een bezochte website wordt door de browser namelijk anders weergegeven dan een link die nog niet is bezocht. De sensor kan dit herkennen. Een website kan verschillende stijlen voor bezochte en nog niet bezochte links gebruiken, maar kan niet detecteren hoe de links aan de gebruiker worden weergegeven. Dit kan echter wel via de sensor worden gedaan. Als voorbeeld maakten de onderzoekers een stijl waarbij bezochte links in het wit worden weergegeven en nog niet bezochte websites in het zwart. De sensor kan deze verschillen waarnemen en zo aan de website terugkoppelen.

Daarnaast is het ook mogelijk om gegevens van cross-origin afbeeldingen of frames te stelen, waardoor een aanvaller gevoelige documenten en afbeeldingen kan stelen, bijvoorbeeld een qr-code om weer toegang tot een account te krijgen. Op deze manier zou het mogelijk zijn om accounts over te nemen. Dit is mogelijk doordat de lichtsensor kleurverschillen op het scherm kan herkennen en zo de qr-code kan uitlezen. Het uitvoeren van de aanval is vrij traag. Het herkennen van een qr-code kost 3 minuten en 20 seconden, terwijl het uitlezen van de surfgeschiedenis meer dan 8 minuten in beslag neemt.

Om dergelijke aanvallen te voorkomen adviseren de onderzoekers om de frequentie van de sensor te beperken, alsmede de nauwkeurigheid van de sensoruitvoer. De beste oplossing zou echter zijn dat websites altijd toestemming van de gebruiker nodig hebben voordat ze de lichtsensor mogen gebruiken. In Firefox kunnen de lichtsensoren worden uitgeschakeld door in about:config de optie 'device.sensors.enabled' op false te zetten.