防不勝防:手機電池信息也可泄露你的隱私
文章來源:Mashable,TECH2IPO/創見 陳錚編譯,譯文創見首發,轉載請註明出處
你真的以為使用了無痕瀏覽(private browsing)自己的隱私就可以高枕無憂了嗎?一篇最新論文向我們顯示了智能手機和筆記本的電池將會如何泄露出你的隱私。
在這篇論文中研究者聲稱一款基於 HTML 5 規範的名為 Battery Status API 的接口能夠通過網頁來監測你的設備電池狀態,由於其具有一定的精確性,它甚至可以用來監視你在短時間內的手機使用行為。在它的監控下,即使你使用了一些類似洋葱瀏覽器(Tor)這樣的隱藏身份的軟件,也並沒有什麼用。
之所以能做到如此,是因為 Battery Status API 可以讀出關於你的設備電池的多種信息——電量、充電時間與放電時間。將這三種關於電池的信息結合在一起將得到每一台設備獨一無二的電池數據,這也就意味着潛在的攻擊者可以以此製造出你的設備的數字指紋,並且跟蹤你在網頁中的活動。
「在短短的時間裏,Battery Status API 就已經能夠追蹤用户的身份,其作用機制與 evercookies 類似(譯者注:evercookies 可以通過各種你難以想象的方式來跟蹤訪問網站的用户行為)。而且,當用户竭盡全力地去清除掉 evercookies 時,電池信息還可以當做一種備用的方式。在企業網絡環境下,眾多設備都共享 IP 地址並且具有相似的特徵,有了電池信息就可以將那些隱藏於 NAT 服務器之後的設備區分出來。在傳統的用户追蹤方式中,到了企業網絡中就沒轍了。」
該論文由來自法國與比利時的四位網絡安全研究員合作完成,截止 2015 年 6 月,Firefox、Opera 以及 Chrome 都支持 HTML 5 特性。
想要從這種追蹤方法中逃脱絕頂困難,因為幾乎所有的設備都有其脆弱不堪的一面。這種通過電池信息被追蹤的風險在那些老款機型以及電池性能減退的設備上更加突出。
根據該論文,使用 Battery Status API 中潛在的隱私泄露問題其實早在 2012 年就有所討論,但是這個 API 並沒有根據這種來自外界的擔憂而進行修改。
其實這一問題很好解決,研究人員認為只要讓電池的讀數不那麼精準就可以了。可以通過四捨五入的方式讓與電池電量、充電時間等信息準確度下降,這麼做不會影響到任何功能性的使用,但是卻可以讓通過電池信息追蹤用户身份的方式撞上南牆。
資料來源:TECH2IPO