報(bào)》報(bào)道,比利時(shí)和法國(guó)隱私安全專家表示,該API可用于鑒別“設(shè)備指紋”——即通過監(jiān)測(cè)網(wǎng)站訪客的電池狀態(tài)——如當(dāng)前充電等級(jí)、以及完成充電所需的時(shí)長(zhǎng)。
當(dāng)將信息片段組合起來之后,就能夠形成類似supercookie的唯一標(biāo)識(shí)符。對(duì)于那些年久的設(shè)備來說,由于其電池使用壽命進(jìn)一步縮短,所以更容易產(chǎn)生唯一的‘標(biāo)識(shí)符’。
Firefox、Opera和Chrome已支持該API(微軟的IE和Edge瀏覽器除外)。安全人員憤怒地指出:“我們希望大家能夠提起對(duì)于該API被濫用于‘特征識(shí)別’和追蹤時(shí)的隱私問題的關(guān)注”。
尷尬的是,在制定HTML5標(biāo)準(zhǔn)時(shí),W3C并未考慮到向用戶發(fā)出電池狀態(tài)API被調(diào)用的警告,該機(jī)構(gòu)稱:“所披露的信息對(duì)保密性或‘特征’的影響極小,因此不考慮授權(quán)許可”。
為了克服安全和隱私上的麻煩,文章作者認(rèn)為需要對(duì)API收集到的讀書進(jìn)行四舍五入。畢竟這么做并不會(huì)干擾到API的正常功能,但可以消除被追蹤的尷尬。
最后,研究人員還認(rèn)為,擁有訪問權(quán)限的API應(yīng)交由用戶去請(qǐng)求,而不是在默認(rèn)情況下即許可使用。