Как батарея вашего телефона может быть использована для вторжения в вашу личную жизньГруппа исследователей показала, как отслеживать пользователей при помощие не более, чем измерения оставшегося заряда батареи, это может поставить под угрозу конфиденциальность.
Малоизвестной особенностью спецификации HTML5 является то, что веб-сайты могут узнать, сколько энергии батареи осталось на ноутбуке или смартфоне, через который посетитель вышел в сеть, - и теперь, исследователи в области безопасности предупреждают, что эта информация может быть использована для отслеживания браузеров в Интернете.
API для состояния батареи в настоящее время поддерживается в браузерах Firefox, Opera и Chrome, и было введено World Wide Web Consortium (W3C, организация, которая курирует разработку стандартов веба) в 2012 году, с целью помочь веб-сайтам сохранить энергию пользователей. В идеале, веб-сайт или веб-приложение может заметить, когда посетитель имеет небольшой заряд батареи, и переключиться в режим пониженного энергопотребления путем отключения малозначительных функции оставив наиболее используемые.
Спецификация W3C явно освобождает сайты от необходимости спрашивать разрешения пользователя, чтобы измерить оставшийся ресурс их батареи, утверждая, что "эта информация, будучи раскрытой, оказывает минимальное влияние на неприкосновенность частной жизни или отпечатков пальцев, и, следовательно, может быть доступной без разрешений". Но в новом документе от четырех французских и бельгийских исследователей безопасности это утверждение поставлено под сомнение.
Исследователи отмечают, что информация, которую сайт получает, содержит расчетное время в секундах до исчерпания батареи, а также заряд батареи, выраженный в процентах. Эти два числа, взятые вместе, могут быть в любой из около 14000000 комбинаций, это означает, что они действуют в качестве потенциального идентификационного номера. Более того, эти значения обновляются только примерно каждые 30 секунд, однако, это означает, что в течение половины минуты, API состояния батареи может быть использовано для идентификации пользователей веб-сайтов.
Например, если пользователь посещает веб-сайт в частном режиме просмотра в Chrome, используя VPN, веб-сайт должен не быть в состоянии связать его при последующем посещении с предыдущим. Но исследователи предупреждают, что это может не работать: "Пользователи, которые пытаются вернуться на веб-сайт с новым идентификатором могут использовать приватный режим браузера или очистить куки и другие идентификаторы на стороне клиента. При последовательных визитах сделаных в пределах короткого интервала, веб-сайт может связать новые и старые идентичности пользователей, используя уровень заряда батареи и времени для отключения. Сайт может переустановить куки пользователей и другие идентификаторы на стороне клиента, методом, известным как respawning.
Хуже того, на некоторых платформах, исследователи обнаружили, что возможно определить максимальную емкость батареи устройства с помощью достаточного количества, создания полупостоянных метрик для сравнения устройств.