通過電池狀態(tài)來追蹤智能手機使用者的網(wǎng)上活動,這話乍一聽似乎有些不太可能,但它可能并沒有那么牽強。即使沒有惡意軟件或黑客攻擊,HTML5規(guī)范中的一個內(nèi)置組件——Power Status API——仍有可能將你偷偷地給出賣了。該組件原意旨在幫助降低功耗,因此網(wǎng)站和應用可以借助它來監(jiān)測筆記本、平板、以及手機的電池電量。
不過,由一組安全研究人員發(fā)表的論文卻稱,其存在巨大的隱私風險。因為即使僅使用到剩余電量信息,也可能導致用戶被識別并在線追蹤。
據(jù)英國《衛(wèi)報》報道,比利時和法國隱私安全專家表示,該API可用于鑒別“設(shè)備指紋”——即通過監(jiān)測網(wǎng)站訪客的電池狀態(tài)——如當前充電等級、以及完成充電所需的時長。
當將信息片段組合起來之后,就能夠形成類似supercookie的唯一標識符。對于那些年久的設(shè)備來說,由于其電池使用壽命進一步縮短,所以更容易產(chǎn)生唯一的‘標識符’。
Firefox、Opera和Chrome已支持該API(微軟的IE和Edge瀏覽器除外)。安全人員憤怒地指出:“我們希望大家能夠提起對于該API被濫用于‘特征識別’和追蹤時的隱私問題的關(guān)注”。
尷尬的是,在制定HTML5標準時,W3C并未考慮到向用戶發(fā)出電池狀態(tài)API被調(diào)用的警告,該機構(gòu)稱:“所披露的信息對保密性或‘特征’的影響極小,因此不考慮授權(quán)許可”。
為了克服安全和隱私上的麻煩,文章作者認為需要對API收集到的讀書進行四舍五入。畢竟這么做并不會干擾到API的正常功能,但可以消除被追蹤的尷尬。
最后,研究人員還認為,擁有訪問權(quán)限的API應交由用戶去請求,而不是在默認情況下即許可使用。
電池網(wǎng)微信
