說到手機當(dāng)中隱私的泄露方式�,大家可能首先想到的是暗藏的軟件或者后臺程序在搞鬼����。但根據(jù)一項最新的研究顯示,就連與程序相關(guān)性不大的手機電池�,都有可能泄露使用者的個人信息。利用HTML5的漏洞����,黑客可以利用網(wǎng)站來獲取手機電池的壽命資料,從而用來辨別用戶的身份信息����。
為了協(xié)助各網(wǎng)站讓瀏覽其頁面的行動裝置電池壽命最佳化,全球資訊網(wǎng)協(xié)會在2012年推出了電池狀態(tài)應(yīng)用程式介面(API)�。其基本功能在于讓網(wǎng)站得以看到用戶的行動裝置剩余多少電池用量,使其得以在必要時切換至低功耗模式頁面���。例如��,以Chrome���、Firefox與Opera等瀏覽器瀏覽網(wǎng)站時,如果網(wǎng)站偵測到用戶的行動裝置剩余有限電量�,即可暫停選擇耗電的功能。
根據(jù)比利時與法國安全研究人員發(fā)布的一項研究顯示,這種電池狀態(tài)API存在幾個問題����。首先,W3C規(guī)范中并未要求網(wǎng)站預(yù)先取得查詢用戶裝置電池壽命的許可�����。僅在一部份的規(guī)范中解釋:“所披露的資訊對于個人隱私或指紋的影響微乎其微�,因而不需用戶授權(quán)?����!?
但研究人員并不同意這樣的說法���。
網(wǎng)站能夠從瀏覽其頁面的裝置取得相當(dāng)多的資訊����。所記錄的資料包括估計電池放電所需的時間��,以及剩余的電池壽創(chuàng)百分比���。結(jié)合這些數(shù)字與資料可能成為一種辨識用戶行動裝置的辨識碼組合�����。
此外�����,這些資料每30秒就更新一次��。這些資料的特殊性��,以及收集資料的頻率�,都明顯提高了辨識與鎖定用戶身份的機會�����。
“在很短的間隔���,這種電池狀態(tài)API可用于追蹤用戶辨識碼�,”研究人員解釋說��?���!爱?dāng)用戶以新的身份再度瀏覽網(wǎng)站時����,可能會利用瀏覽器的無痕模式或清除cookies及其客戶端辨識碼��。但在一段短時間間隔內(nèi)連續(xù)瀏覽��,網(wǎng)站就能利用電池電量與充/放電時間�,自動連結(jié)用戶的新、舊辨識碼����。網(wǎng)站還能重新引用用戶的cookies及其他客戶端辨識碼,這種方法即所謂的‘重生’�����?!?
你認(rèn)為企業(yè)虛擬私有網(wǎng)路(VPN)會保護(hù)你嗎?并不會����!研究人員警告道。
“在企業(yè)環(huán)境下���,裝置之間共享類似的特性與IP位址��,并在防火墻之后��,利用電池資訊來區(qū)別裝置��,”根據(jù)該研究指出���,瀏覽網(wǎng)站的裝置通常為他們帶來足夠的資料,使其得以為智慧型手機附加上半永久性的辨識碼�����。但這樣的方式令人感到不安�。
其實關(guān)于電池暴露使用者信息的問題,早在2012年就被發(fā)現(xiàn)����,但時至今日仍舊沒有得到有效改善。研究人員指出�����,這個問題的改善其實并不困難���,只要對電池用量的讀數(shù)進(jìn)行修改��,使之不再那么準(zhǔn)確�,問題就可以得到有效地解決。并且對電池壽命數(shù)值的修改并不會對電池的壽命造成過大的影響����,因此這一修改并不會對用戶的使用造成影響。
