信息來源:FreeBuf
根據(jù)一份普林斯頓大學(xué)研究員的報告�,電池狀態(tài)已經(jīng)在一些網(wǎng)站被用來跟蹤你的在線活動。漏洞觸發(fā)的原因是因為電池狀態(tài)API����。
又是電池����?
去年的時候,斯坦福大學(xué)的研究員就曾發(fā)表研究����,他們通過電池在特定時間內(nèi)的消耗對手機(jī)用戶的物理位置進(jìn)行定位,他們把這種追蹤方法命名為PowerSpy����,準(zhǔn)確度高達(dá)90%�。PowerSpy利用了蜂窩傳輸服務(wù)塔消耗電量速度的不同這一點�,速度很大程度上取決于用戶與蜂窩電話塔的距離遠(yuǎn)近,以及地理條件上的一些障礙�����,通過測量電池使用情況�����,攻擊者就可以得到你的位置信息����。
在新揭露的漏洞中,被利用的是電池狀態(tài)API����。這個概念首先在HTML5中出現(xiàn),到去年八月主流瀏覽器如Firefox, Chrome和Opera都開始使用了�����。API的目的是讓站主看到筆記本�����、平板、手機(jī)上還有多少電�����,必要時網(wǎng)站會提供一份專門針對低電量用戶的版本�。但是研究人員去年警告稱,API可能會把你的電量變成非常有特征的跟蹤標(biāo)識�����。
研究人員發(fā)現(xiàn)�,每分鐘耗掉的電量與電量百分比二者結(jié)合起來就能有1400萬種不同的可能性,基本上就可以說是針對每個設(shè)備有唯一的標(biāo)識了�,這可以對他們訪問的網(wǎng)站進(jìn)行跟蹤�����。
通過電池狀態(tài)跟蹤你
研究員Lukasz Olejnik上周發(fā)布了一篇博文����,講的就是很多公司現(xiàn)在就是在利用電量信息來挖掘一些潛在有用的信息。
“有些公司可能在分析把‘電量信息’變現(xiàn)的可能性”�,博文寫道,“當(dāng)電量低的時候,用戶可能就會有些別的決定�。這種情況下,他們就可能愿意為了某個服務(wù)多付點錢�。”
研究員Engelhard和Narayanan發(fā)現(xiàn)了網(wǎng)上大量出現(xiàn)的兩段跟蹤腳本�����,廣告商們利用他們從電池狀態(tài)API獲取信息����,并追蹤用戶。
無處不在的追蹤腳本
筆者查看論文后找到了文中提到的跟蹤腳本�����,這些腳本在大量的網(wǎng)站都有出現(xiàn)�,其中也不乏一些大公司:
防御手段
這種攻擊最為可怕的部分是:
基本上沒有辦法防御這種攻擊。無論是刪除瀏覽器cookies還是使用VPN和AdBlocker����,你電池的屬性還是不會變,因此仍然可以被跟蹤����。
唯一的辦法可能就是把你的手機(jī)插到電源里去����。
兩周前����,Uber的經(jīng)濟(jì)分析主管Keith Chen曾經(jīng)說過,該公司一直在監(jiān)控用戶的電池狀況����,因為它知道,用戶電量不足的時候很可能會愿意付更高的價格租輛車�。
*參考來源:THN,F(xiàn)B小編Sphinx編譯����,轉(zhuǎn)載請注明來自Freebuf黑客與極客(FreeBuf.COM)
