说到手机当中隐私的泄露方式,大家可能首先想到的是暗藏的软件或者后台程序在搞鬼。但根据一项最新的研究显示,就连与程序相关性不大的手机电池,都有可能泄露使用者的个人信息。利用HTML5的漏洞,黑客可以利用网站来获取手机电池的寿命资料,从而用来辨别用户的身份信息。
为了协助各网站让浏览其页面的行动装置电池寿命最佳化,全球资讯网协会在2012年推出了电池状态应用程式介面(API)。其基本功能在于让网站得以看到用户的行动装置剩余多少电池用量,使其得以在必要时切换至低功耗模式页面。例如,以Chrome、Firefox与Opera等浏览器浏览网站时,如果网站侦测到用户的行动装置剩余有限电量,即可暂停选择耗电的功能。
根据比利时与法国安全研究人员发布的一项研究显示,这种电池状态API存在几个问题。首先,W3C规范中并未要求网站预先取得查询用户装置电池寿命的许可。仅在一部份的规范中解释:“所披露的资讯对于个人隐私或指纹的影响微乎其微,因而不需用户授权。”
但研究人员并不同意这样的说法。
网站能够从浏览其页面的装置取得相当多的资讯。所记录的资料包括估计电池放电所需的时间,以及剩余的电池寿创百分比。结合这些数字与资料可能成为一种辨识用户行动装置的辨识码组合。
此外,这些资料每30秒就更新一次。这些资料的特殊性,以及收集资料的频率,都明显提高了辨识与锁定用户身份的机会。
“在很短的间隔,这种电池状态API可用于追踪用户辨识码,”研究人员解释说。“当用户以新的身份再度浏览网站时,可能会利用浏览器的无痕模式或清除cookies及其客户端辨识码。但在一段短时间间隔内连续浏览,网站就能利用电池电量与充/放电时间,自动连结用户的新、旧辨识码。网站还能重新引用用户的cookies及其他客户端辨识码,这种方法即所谓的‘重生’。”
你认为企业虚拟私有网路(VPN)会保护你吗?并不会!研究人员警告道。
“在企业环境下,装置之间共享类似的特性与IP位址,并在防火墙之后,利用电池资讯来区别装置,”根据该研究指出,浏览网站的装置通常为他们带来足够的资料,使其得以为智慧型手机附加上半永久性的辨识码。但这样的方式令人感到不安。
其实关于电池暴露使用者信息的问题,早在2012年就被发现,但时至今日仍旧没有得到有效改善。研究人员指出,这个问题的改善其实并不困难,只要对电池用量的读数进行修改,使之不再那么准确,问题就可以得到有效地解决。并且对电池寿命数值的修改并不会对电池的寿命造成过大的影响,因此这一修改并不会对用户的使用造成影响。
