說(shuō)到手機(jī)當(dāng)中隱私的泄露方式,大家可能首先想到的是暗藏的軟件或者后臺(tái)程序在搞鬼����。但根據(jù)一項(xiàng)最新的研究顯示,就連與程序相關(guān)性不大的手機(jī)電池�,都有可能泄露使用者的個(gè)人信息。利用HTML5的漏洞����,黑客可以利用網(wǎng)站來(lái)獲取手機(jī)電池的壽命資料,從而用來(lái)辨別用戶(hù)的身份信息����。
為了協(xié)助各網(wǎng)站讓瀏覽其頁(yè)面的行動(dòng)裝置電池壽命最佳化,全球資訊網(wǎng)協(xié)會(huì)在2012年推出了電池狀態(tài)應(yīng)用程式介面(API)���。其基本功能在于讓網(wǎng)站得以看到用戶(hù)的行動(dòng)裝置剩余多少電池用量�,使其得以在必要時(shí)切換至低功耗模式頁(yè)面�。例如,以Chrome�、Firefox與Opera等瀏覽器瀏覽網(wǎng)站時(shí)�����,如果網(wǎng)站偵測(cè)到用戶(hù)的行動(dòng)裝置剩余有限電量�,即可暫停選擇耗電的功能�����。
根據(jù)比利時(shí)與法國(guó)安全研究人員發(fā)布的一項(xiàng)研究顯示����,這種電池狀態(tài)API存在幾個(gè)問(wèn)題。首先����,W3C規(guī)范中并未要求網(wǎng)站預(yù)先取得查詢(xún)用戶(hù)裝置電池壽命的許可�����。僅在一部份的規(guī)范中解釋?zhuān)骸八兜馁Y訊對(duì)于個(gè)人隱私或指紋的影響微乎其微�,因而不需用戶(hù)授權(quán)?���!?
但研究人員并不同意這樣的說(shuō)法����。
網(wǎng)站能夠從瀏覽其頁(yè)面的裝置取得相當(dāng)多的資訊����。所記錄的資料包括估計(jì)電池放電所需的時(shí)間,以及剩余的電池壽創(chuàng)百分比����。結(jié)合這些數(shù)字與資料可能成為一種辨識(shí)用戶(hù)行動(dòng)裝置的辨識(shí)碼組合。
此外��,這些資料每30秒就更新一次�。這些資料的特殊性,以及收集資料的頻率�,都明顯提高了辨識(shí)與鎖定用戶(hù)身份的機(jī)會(huì)。
“在很短的間隔�,這種電池狀態(tài)API可用于追蹤用戶(hù)辨識(shí)碼,”研究人員解釋說(shuō)�。“當(dāng)用戶(hù)以新的身份再度瀏覽網(wǎng)站時(shí)���,可能會(huì)利用瀏覽器的無(wú)痕模式或清除cookies及其客戶(hù)端辨識(shí)碼���。但在一段短時(shí)間間隔內(nèi)連續(xù)瀏覽��,網(wǎng)站就能利用電池電量與充/放電時(shí)間���,自動(dòng)連結(jié)用戶(hù)的新、舊辨識(shí)碼���。網(wǎng)站還能重新引用用戶(hù)的cookies及其他客戶(hù)端辨識(shí)碼�����,這種方法即所謂的‘重生’��?����!?
你認(rèn)為企業(yè)虛擬私有網(wǎng)路(VPN)會(huì)保護(hù)你嗎��?并不會(huì)!研究人員警告道����。
“在企業(yè)環(huán)境下,裝置之間共享類(lèi)似的特性與IP位址���,并在防火墻之后���,利用電池資訊來(lái)區(qū)別裝置�,”根據(jù)該研究指出����,瀏覽網(wǎng)站的裝置通常為他們帶來(lái)足夠的資料,使其得以為智慧型手機(jī)附加上半永久性的辨識(shí)碼�����。但這樣的方式令人感到不安���。
其實(shí)關(guān)于電池暴露使用者信息的問(wèn)題���,早在2012年就被發(fā)現(xiàn),但時(shí)至今日仍舊沒(méi)有得到有效改善����。研究人員指出,這個(gè)問(wèn)題的改善其實(shí)并不困難���,只要對(duì)電池用量的讀數(shù)進(jìn)行修改�����,使之不再那么準(zhǔn)確�����,問(wèn)題就可以得到有效地解決�。并且對(duì)電池壽命數(shù)值的修改并不會(huì)對(duì)電池的壽命造成過(guò)大的影響,因此這一修改并不會(huì)對(duì)用戶(hù)的使用造成影響����。
