Новый метод слежения
Исследователи нашли возможность отслеживания онлайн-активности пользователя по данным о его батареи, которую веб и сайты-приложения смогут приобретать при помощи интерфейса программирования Battery Status API. Они удачно опробовали возможность для того чтобы отслеживания в Mozilla Firefox в среде Linux.
Battery Status API
Battery Status API — это элемент HTML5. Он разрешает выяснять уровень заряда батареи и ее текущую рабочую емкость чтобы переводить пользователя всемирной сети на более облегченную версию сайта.
К примеру, на протяжении веб-серфинга заряд батареи снизился до 5%. Определив об этом, сайт отключит последовательность собственных компонентов чтобы снизить скорость расхода батареи. Наряду с этим разработчики этого API не позаботились об уведомлении пользователя либо о том, дабы приобретать его согласие, поскольку не усмотрели в работе интерфейса каких-либо талантливых навредить брешей.
По состоянию на июнь 2015 г. три браузера поддерживали Battery Status API — Firefox, Chrome и Opera. Любопытно, что еще в 2012 г. на протяжении создания HTML5, разработчики Mozilla и Tor Browser обратили внимание на вероятные неприятности с безопасностью благодаря текущей имплементации API. Однако, их дискуссии не были услышаны.
Уровень заряда батареи приспособили для слежки для людьми
Как это трудится
Главная неприятность содержится в том, что Battery Status API разрешает сайтам дистанционно выяснять рабочую емкость батареи, которая в ходе эксплуатации у любых устройств уменьшается. Так, это может служить собственного рода идентификатором конкретного устройства либо пользователя. Действительно, отслеживать таковой идентификатор запрещено неизменно, поскольку через какое-то время емкость батареи снова изменится.
Исходя из этого этот метод имеет временное ограничение.
В конечном итоге существует довольно много способов отслеживания онлайн-пользователей в сети. К примеру, это возможно делать при помощи информации о разрешении экрана, системных шрифтах и установленных в браузере плагинов. Более того, кое-какие исследователи нашли методы отслеживания онлайн-активности пользователей при помощи расфазировки синхросигналов, информации о производительности JavaScript-движка, черт сетевого протокола, параметров шрифтов и т. д.
Как решить проблему
Исследователи узнали, что в Linux передача информации о емкости батареи через API осуществляется с двойной точностью. К примеру, сайт приобретает число 0.9301929625425652. Это число и есть собственного рода неповторимым отпечатком, по которому пользователя возможно «ловить» и на вторых сайтах. Согласно мнению ученых, повысить защиту пользователей возможно было бы несложным округлением числа.
Для сравнения, в Windows, Mac OS X и Android интерфейс передает число с двумя символами по окончании запятой (к примеру, 0.32).
Авторы находки разместили в интернете доклад (PDF) с результатами собственный работы. В нем говорится, что разработчики Firefox были уведомлены о проблеме в Linux-версии браузера. Они уже выпустили соответствующее обновление.
Увлекательные записи:
- Beebonus – новая возможность сокращения расходов для абонентов "би лайн"
- Белорусы выдают мониторы acer за свои
- Бесплатный взлом iphone стал доступен каждому