信息來(lái)源：FreeBuf

根據(jù)一份普林斯頓大學(xué)研究員的報(bào)告，電池狀態(tài)已經(jīng)在一些網(wǎng)站被用來(lái)跟蹤你的在線活動(dòng)。漏洞觸發(fā)的原因是因?yàn)殡姵貭顟B(tài)API。

又是電池？

去年的時(shí)候，斯坦福大學(xué)的研究員就曾發(fā)表研究，他們通過(guò)電池在特定時(shí)間內(nèi)的消耗對(duì)手機(jī)用戶的物理位置進(jìn)行定位，他們把這種追蹤方法命名為PowerSpy，準(zhǔn)確度高達(dá)90%。PowerSpy利用了蜂窩傳輸服務(wù)塔消耗電量速度的不同這一點(diǎn)，速度很大程度上取決于用戶與蜂窩電話塔的距離遠(yuǎn)近，以及地理?xiàng)l件上的一些障礙，通過(guò)測(cè)量電池使用情況，攻擊者就可以得到你的位置信息。

在新揭露的漏洞中，被利用的是電池狀態(tài)API。這個(gè)概念首先在HTML5中出現(xiàn)，到去年八月主流瀏覽器如Firefox, Chrome和Opera都開(kāi)始使用了。API的目的是讓站主看到筆記本、平板、手機(jī)上還有多少電，必要時(shí)網(wǎng)站會(huì)提供一份專門(mén)針對(duì)低電量用戶的版本。但是研究人員去年警告稱，API可能會(huì)把你的電量變成非常有特征的跟蹤標(biāo)識(shí)。

研究人員發(fā)現(xiàn)，每分鐘耗掉的電量與電量百分比二者結(jié)合起來(lái)就能有1400萬(wàn)種不同的可能性，基本上就可以說(shuō)是針對(duì)每個(gè)設(shè)備有唯一的標(biāo)識(shí)了，這可以對(duì)他們?cè)L問(wèn)的網(wǎng)站進(jìn)行跟蹤。

通過(guò)電池狀態(tài)跟蹤你

研究員Lukasz Olejnik上周發(fā)布了一篇博文，講的就是很多公司現(xiàn)在就是在利用電量信息來(lái)挖掘一些潛在有用的信息。

“有些公司可能在分析把‘電量信息’變現(xiàn)的可能性”，博文寫(xiě)道，“當(dāng)電量低的時(shí)候，用戶可能就會(huì)有些別的決定。這種情況下，他們就可能愿意為了某個(gè)服務(wù)多付點(diǎn)錢(qián)。”

研究員Engelhard和Narayanan發(fā)現(xiàn)了網(wǎng)上大量出現(xiàn)的兩段跟蹤腳本，廣告商們利用他們從電池狀態(tài)API獲取信息，并追蹤用戶。

無(wú)處不在的追蹤腳本

筆者查看論文后找到了文中提到的跟蹤腳本，這些腳本在大量的網(wǎng)站都有出現(xiàn)，其中也不乏一些大公司：

防御手段

這種攻擊最為可怕的部分是：

基本上沒(méi)有辦法防御這種攻擊。無(wú)論是刪除瀏覽器cookies還是使用VPN和AdBlocker，你電池的屬性還是不會(huì)變，因此仍然可以被跟蹤。

唯一的辦法可能就是把你的手機(jī)插到電源里去。

兩周前，Uber的經(jīng)濟(jì)分析主管Keith Chen曾經(jīng)說(shuō)過(guò)，該公司一直在監(jiān)控用戶的電池狀況，因?yàn)樗?，用戶電量不足的時(shí)候很可能會(huì)愿意付更高的價(jià)格租輛車(chē)。

*參考來(lái)源：THN，F(xiàn)B小編Sphinx編譯，轉(zhuǎn)載請(qǐng)注明來(lái)自Freebuf黑客與極客（FreeBuf.COM）