HTML5電池狀態API或被用于設備識別和追蹤
責編:mhshi |2015-08-04 09:58:21通過電池狀態來追蹤智能手機使用者的網上活動,這話乍一聽似乎有些不太可能,但它可能并沒有那么牽強。即使沒有惡意軟件或黑客攻擊,HTML5規范中的一個內置組件——Power Status API——仍有可能將你偷偷地給出賣了。該組件原意旨在幫助降低功耗,因此網站和應用可以借助它來監測筆記本、平板、以及手機的電池電量。
不過,由一組安全研究人員發表的論文卻稱,其存在巨大的隱私風險。因為即使僅使用到剩余電量信息,也可能導致用戶被識別并在線追蹤。
據英國《衛報》報道,比利時和法國隱私安全專家表示,該API可用于鑒別“設備指紋”——即通過監測網站訪客的電池狀態——如當前充電等級、以及完成充電所需的時長。
當將信息片段組合起來之后,就能夠形成類似supercookie的唯一標識符。對于那些年久的設備來說,由于其電池使用壽命進一步縮短,所以更容易產生唯一的‘標識符’。
Firefox、Opera和Chrome已支持該API(微軟的IE和Edge瀏覽器除外)。安全人員憤怒地指出:“我們希望大家能夠提起對于該API被濫用于‘特征識別’和追蹤時的隱私問題的關注”。
尷尬的是,在制定HTML5標準時,W3C并未考慮到向用戶發出電池狀態API被調用的警告,該機構稱:“所披露的信息對保密性或‘特征’的影響極小,因此不考慮授權許可”。
為了克服安全和隱私上的麻煩,文章作者認為需要對API收集到的讀書進行四舍五入。畢竟這么做并不會干擾到API的正常功能,但可以消除被追蹤的尷尬。
最后,研究人員還認為,擁有訪問權限的API應交由用戶去請求,而不是在默認情況下即許可使用。