手機電也會出賣你? 專家發現網站可透過 Battery Status API 追蹤用戶

當我們使用智能手機便註定不少資料會被程式接收,但有沒有連手機電量都可以讀取,然後辨別身分?外國有研究人員指,HTML5 的 Battery Status API 可讓網站讀取裝置的電量,然後將之變成用戶的識別符。

當我們使用智能手機便註定不少資料會被程式接收,但有沒有連手機電量都可以讀取,然後辨別身分?外國有研究人員指,HTML5 的 Battery Status API 可讓網站讀取裝置的電量,然後將之變成用戶的識別符。

 

HTML5 的 Battery Status API 能夠讀取用戶裝置的電量和狀態,原意是助網頁開發者為低電池量裝置提供低耗電版本的網頁。但去年已有研究人員發現,網站管理員可以利用裝置的電量、充電和放電量構成獨特組合,以識別和追蹤用戶;此外該 API 與 Geolocation 不同,啟用時瀏覽器不會請示用戶。

現在普林斯頓大學的兩位學者已證實以上想法並非流於理念。他們利用特製的工具發現,一些網站已開始利用 Battery Status API 來追蹤用戶。他們擷取了兩個 JavaScript 檔案,一個會讀取裝置現時的電量,並輔以 HTML5 Canvas 和 WebRTC 得到的 IP 地址來追蹤;另一個是透過 BatteryManager 讀取電量和充電所需時間,並加入其他辨別功能來輔助。

於 2015 年首次提出關注的研究人員 Lukasz Olejnik 指出,部分公司可能以獲取裝置的電量而獲利,因為裝置電量低時人們可能會造出不同的決定。Uber 早前已透露,當用戶手機的電量低時,他們願意支付比平常高達 9.9 倍的價錢。

Source : ZDnet