智能手机电池能追踪到你的隐私？

OPTION_5:HP

你可能从来没想过智能手机的电池也可能威胁个人隐私吧？但根据一项最新的研究发现事实正是如此。由于网页编程语言HTML5存在漏洞，让网站可以利用移动设备的电池寿命数据辨识用户身份。

为 了协助各网站让浏览其页面的移动设备电池寿命优化，万维网联合会(World Wide Web Consortium；W3C)在2012年推出了电池状态应用程序编程接口(API)。其基本功能在于让网站得以看到用户的移动设备剩余多少电池用量，使其得以在必要时切换至低功耗模式页面。例如，以Chrome、Firefox与Opera等浏览器浏览网站时，如果网站侦测到用户的移动设备剩余有限电量， 即可暂停选择耗电的功能。

根据比利时与法国安全研究人员发布的一项研究显示，这种电池状态API存在几个问题。首先，W3C规范中并未要求网站预先取得查询用户设备电池寿命的许可。仅在一部份的规范中解释：“所披露的信息对于个人隐私或指纹的影响微乎其微，因而不需用户授权。”

但研究人员并不同意这样的说法。

网站能够从浏览其页面的设备取得相当多的信息。所记录的数据报括估计电池放电所需的时间，以及剩余的电池寿创百分比。结合这些数字与数据可能成为一种辨识用户移动设备的辨识码组合。

此外，这些数据每30秒就更新一次。这些数据的特殊性，以及收集数据的频率，都明显提高了辨识与锁定用户身份的机会。

“在很短的间隔，这种电池状态API可用于追踪用户辨识码，”研究人员解释说。“当用户以新的身份再度浏览网站时，可能会利用浏览器的无痕模式或清除 cookies及其客户端辨识码。但在一段短时间间隔内连续浏览，网站就能利用电池电量与充/放电时间，自动链接用户的新、旧辨识码。网站还能重新引用用 户的cookies及其他客户端辨识码，这种方法即所谓的‘重生’(respawning)。”

你认为企业虚拟私有网络(VPN)会保护你吗？并不会！研究人员警告道。

“在企业环境下，设备之间共享类似的特性与IP地址，并在防火 墙之后，利用电池信息来区别设备，”根据该研究指出，浏览网站的设备通常为他们带来足够的数据，使其得以为智能手机附加上半永久性的辨识码。但这样的方式令人感到不安。

电池状态API的隐私问题从2012年起就不断受到讨论，至今却还未加以修改。研究人员建议，只要让电池用量的读数变得不那么精确些，就能解决这个隐私顾虑。向下调整电池寿命的数值并不至于影响功能性，但已足以保护用户免于被辨识。

编译：Susan Hong

本文授权编译自EE Times，版权所有，谢绝转载