隐私提醒:HTML5电池状态API或被用于设备识别和追踪

安全
通过电池状态来追踪智能手机使用者的网上活动,这话乍一听似乎有些不太可能,但它可能并没有那么牵强。即使没有恶意软件或黑客攻击,HTML5规范中的一个内置组件——Power Status API——仍有可能将你偷偷地给出卖了。该组件原意旨在帮助降低功耗,因此网站和应用可以借助它来监测笔记本、平板、以及手机的电池电量。

通过电池状态来追踪智能手机使用者的网上活动,这话乍一听似乎有些不太可能,但它可能并没有那么牵强。即使没有恶意软件或黑客攻击,HTML5规范中的一个内置组件——Power Status API——仍有可能将你偷偷地给出卖了。该组件原意旨在帮助降低功耗,因此网站和应用可以借助它来监测笔记本、平板、以及手机的电池电量。

 

不过,由一组安全研究人员发表的论文却称,其存在巨大的隐私风险。因为即使仅使用到剩余电量信息,也可能导致用户被识别并在线追踪。

据英国《卫报》报道,比利时和法国隐私安全专家表示,该API可用于鉴别“设备指纹”——即通过监测网站访客的电池状态——如当前充电等级、以及完成充电所需的时长。

当将信息片段组合起来之后,就能够形成类似supercookie的唯一标识符。对于那些年久的设备来说,由于其电池使用寿命进一步缩短,所以更容易产生唯一的‘标识符’。

Firefox、Opera和Chrome已支持该API(微软的IE和Edge浏览器除外)。安全人员愤怒地指出:“我们希望大家能够提起对于该API被滥用于‘特征识别’和追踪时的隐私问题的关注”。

尴尬的是,在制定HTML5标准时,W3C并未考虑到向用户发出电池状态API被调用的警告,该机构称:“所披露的信息对保密性或‘特征’的影响极小,因此不考虑授权许可”。

为了克服安全和隐私上的麻烦,文章作者认为需要对API收集到的读书进行四舍五入。毕竟这么做并不会干扰到API的正常功能,但可以消除被追踪的尴尬。

最后,研究人员还认为,拥有访问权限的API应交由用户去请求,而不是在默认情况下即许可使用。

责任编辑:李英杰 来源: cnbeta
相关推荐

2015-08-07 16:38:09

2018-01-22 12:41:52

前端HTML5追踪网民

2013-01-18 10:59:44

IBMdW

2013-03-04 09:39:38

HTML5漏洞HTML5漏洞

2009-12-07 09:56:53

HTML5

2014-08-28 10:16:17

HTML5

2017-08-09 15:57:11

JavaScriptHtml5音频

2012-04-28 14:01:17

HTML5

2013-05-28 11:08:51

人脸识别html5

2013-01-30 15:35:47

AdobeHTML5

2012-06-05 10:48:23

2014-12-30 17:13:51

HTML5

2017-10-23 16:27:11

HTML5桌面Notificatio

2013-01-24 10:26:04

HTML5HTML 5HTML5的未来

2021-01-21 08:17:23

Linux电池充放电状态

2009-10-29 09:53:02

2012-04-12 11:11:15

HTML5APIWEB

2011-05-13 17:36:05

HTML

2013-10-21 15:24:49

html5游戏

2013-08-02 17:09:43

CloudberryHTML5云手机平台
点赞
收藏

51CTO技术栈公众号