导读:如今,移动互联网正在变得越来越快捷、便利、人性化,但是也越来越容易泄漏个人隐私。最近有研究人员发现,HTML5标准中一个关于电池状态的API可以被用来追踪用户。

目前,网站后台可以用HTML5中的一个新特性来追踪用户信息,而该特性原本是反映用户手机的剩余电量的。早在一年前,就有研究者对此做出过警告。

这个电池状态的API被包含在HTML5标准里,目前这种第五代超文标记语言被广泛应用在各大网站上,诸如Firefox、Opera、Chrome等主流浏览器都已经添加了对HTML5的原生支持功能。而这个API允许网站站长查看用户的手机剩余电量,以及在该电量下的预计使用时间还有连接上充电器后充满电量的时间。

推出这个API本来是为了低电量的手机节约电量消耗的,但不久后就有研究者指出这个API同样可以被用来窥探用户。网站可以读出该手机以百分比表示的电量和以时间(秒数)表示的剩余电量信息,这两者可以有上千万种组合,基本上可以为每一台移动设备提供一个pseudo-unique ID(可以理解成唯一标识符)。而通过这个标识符,某些网站就可以追踪该用户的网上活动,比如同时打开了哪些页面等。

想像一下,一个用户在Firefox浏览器中加载了他们教堂的主页,然后以一个安全的VPN链接,在Chrome的隐私浏览模式中打开一个拜撒旦教的网站。通常情况下,这两个链接很难扯上关系,但在两个页面上都会同时加载广告,通过读取该设备的电量信息,基本上就能判定访问这两个页面的设备是同一台,如果连接时间越长,这个确定性就越大。

因此,以后不要以为自己挂着VPN去浏览一些不可名状的网站就不会有人知道了。

目前,两名普林斯顿大学的研究员Steve Engelhard 和 Arvind Narayanan撰写的文章中就展示了电池状态标识真的可以被用来追踪用户隐私,通过运行一个特别改造过的浏览器,这两名研究员发现了两个用这个API去追踪用户设备的脚本,追踪者们可以在多个环境下对其他用户进行识别。

Lukasz Olejnik也对此做出了强调,他是2015年最初四名指出该API隐私风险的人之一。虽然他的警告获得了某些成效,负责制定web标准的组织也对他表示了感谢,但这个API还是存在被滥用的风险。

Olejnik在他的博客中写到,部分公司可能会从用户的手机电量信息里牟取利益。当手机电量不足时,用户可能会做一些平时本不会做的决定,比如花钱购买某些付费服务,或者是充电宝。(廖夏纬)