Connect with us

Nguy cơ bị xâm phạm quyền riêng tư bởi các cục pin trên smartphone và laptop

TECHNEWS

Nguy cơ bị xâm phạm quyền riêng tư bởi các cục pin trên smartphone và laptop

Một bài phân tích về tính năng Battery Status API trên HTML5 do Trend Micro đã chỉ ra quyền riêng tư của người dùng có nguy cơ bị xâm phạm bởi các thông tin trên trình duyệt Firefox, Opera và Chrome có thể bị Battery Status API tiết lộ.

api

Tính năng API thông báo thời lương pin của thiết bị khi người dùng truy cập vào một trang web, sau đó các trang web có thể tự động vô hiệu hóa các thành phần không cần thiết để tiết kiệm pin.  Không chỉ có vậy, nghiên cứu chỉ ra thông tin được các trình duyệt thu thập có thể xác định liệu người dùng đang sử dụng mạng riêng ảo (VPN) hay trình duyệt ẩn.

Báo cáo cho biết, khi người dùng truy cập vào các trang web trong khoảng thời gian ngắn liên tiếp, các trang web này xác định được danh tính của họ thông qua phân tích thời lượng pin và thời gian sạc/xả pin, sau đó có thể dùng cookies và các định danh khác từ người dùng. Việc theo dõi có thể xảy ra mà người dùng không hề hay biết vì Battery Status API không cần sự cho phép từ phía người dùng.

Tính năng này đã được World Wide Web Consortium (W3C) giới thiệu vào năm 2012, nhóm cho biết các thông tin thu thập được có thể tác động tối thiểu đến quyền riêng tư mà không cần phải được người dùng chấp nhận. Battery Status API trên Firefox không chỉ cho phép các trang web biết được dung lượng pin mà còn thu thập được các “định danh ngắn hạn” khác thậm chí thông qua các mạng lưới doanh nghiệp.

“Trong khoảng thời gian ngắn, Battery Status API có thể theo dõi người dùng tương tự như cookies. Ngoài ra, thông tin pin thu thập được có thể được dùng ngay cả khi người dùng xóa cookies. Trong một bối cảnh mà các thiết bị chia sẻ đặc điểm và địa chỉ IP tương tự nhau thì thông tin về thời lượng pin có thể được sử dụng để phân biệt các thiết bị dựa vào một biên dịch địa chỉ mạng (network address translation)“, nghiên cứu chỉ ra, đồng thời cảnh báo thêm nó còn có được dấu vân tay người dùng và sau đó theo dõi họ khi truy cập các trang web.

Mặc dù những vấn đề ẩn khuất tiềm tàng ở Battery Status API đã được các nhà phát triển trình duyệt Mozilla và Tor thảo luận vào đầu năm 2012, nhưng cả API và Firefox đều không xem xét lại.

“Giả sử bạn có thể theo dõi các thiết bị di động. Nhưng các tài nguyên tiềm năng phía máy chủ (các chu kỳ CPU, bộ nhớ và lưu trữ) sẽ cần được yêu cầu để theo dõi thiết bị. Bây giờ, máy chủ cần đặt một cookie dựa vào thông tin pin khác nhau ở các thiết bị, bởi vì việc truy cập nhiều lần vào các trang web khiến thiết bị dễ bị theo dõi. Tuy nhiên, để làm được điều này người dùng nên chấp nhận cookie trong một hình thức nào đấy sẽ cảnh báo họ biết thiết bị đang bị theo dõi”, Bharat Mistry, tư vấn an ninh mạng tại Trend Micro cho biết.

TUẤN AN

Continue Reading
You may also like...

More in TECHNEWS

Quảng cáo


To Top