通过电池状态来追踪智能手机使用者的网上活动,这话乍一听似乎有些不太可能,但它可能并没有那么牵强。即使没有恶意软件或黑客攻击,HTML5规范中的一个内置组件——Power Status API——仍有可能将你偷偷地给出卖了。该组件原意旨在帮助降低功耗,因此网站和应用可以借助它来监测笔记本、平板、以及手机的电池电量。
不过,由一组安全研究人员发表的论文却称,其存在巨大的隐私风险。因为即使仅使用到剩余电量信息,也可能导致用户被识别并在线追踪。
据英国《卫报》报道,比利时和法国隐私安全专家表示,该API可用于鉴别“设备指纹”——即通过监测网站访客的电池状态——如当前充电等级、以及完成充电所需的时长。
当将信息片段组合起来之后,就能够形成类似supercookie的唯一标识符。对于那些年久的设备来说,由于其电池使用寿命进一步缩短,所以更容易产生唯一的‘标识符’。
Firefox、Opera和Chrome已支持该API(微软的IE和Edge浏览器除外)。安全人员愤怒地指出:“我们希望大家能够提起对于该API被滥用于‘特征识别’和追踪时的隐私问题的关注”。
尴尬的是,在制定HTML5标准时,W3C并未考虑到向用户发出电池状态API被调用的警告,该机构称:“所披露的信息对保密性或‘特征’的影响极小,因此不考虑授权许可”。
为了克服安全和隐私上的麻烦,文章作者认为需要对API收集到的读书进行四舍五入。毕竟这么做并不会干扰到API的正常功能,但可以消除被追踪的尴尬。
最后,研究人员还认为,拥有访问权限的API应交由用户去请求,而不是在默认情况下即许可使用。