Bạn có thể bị theo dõi thông qua thời lượng pin trên smartphone hoặc laptop

Neo , Theo Trí Thức Trẻ

Một nhóm các nhà nghiên cứu đã chứng minh rằng tin tặc có thể theo dõi người dùng qua thông tin về thời lượng pin trên thiết bị di động hoặc laptop.

Ít ai biết rằng HTML5 có một tính năng giúp trang web phát hiện ra thiết bị của người dùng còn bao nhiêu điện năng. Và theo các nhà nghiên cứu bảo mật, những thông tin mà tính năng này thu thập có thể được sử dụng để theo dõi trực tuyến người dùng trình duyệt.

API tình trạng pin được tổ chức W3C trình làng vào năm 2012 với mục đích hỗ trợ các trang web tiết kiệm điện năng cho người dùng. Hiện API này đang được hỗ trợ trong trình duyệt Firefox, Opera và Chrome. Với sự hỗ trợ của API, khi trang web phát hiện ra pin trên thiết bị của người dùng ở mức thấp nó sẽ tự động chuyển sang chế độ tiết kiệm pin bằng cách tắt những tính năng liên quan.

W3C ghi chú rằng trang web cần xin phép người dùng trước khi thu thập thông tin về dung lượng pin còn lại của họ. Bên cạnh đó, tổ chức này cho rằng các thông tin được thu thập tác động tối thiểu tới quyền riêng tư hoặc dấu vân tay và do vậy có thể được tiếp xúc mà không cần sự cho phép. Tuy nhiên, nghiên cứu mới đây của bốn nhà nghiên cứu bảo mật tới từ Pháp và Bỉ, đặt ra khá nhiều câu hỏi xung quanh tuyên bố của W3C.

Các nhà nghiên cứu ngạc nhiên với lượng thông tin mà các trang web thu thập được. Thời gian sạc dự kiến tới khi đầy pin được liệt kê tới từng giây và phần trăm pin còn lại được thể hiện chính xác theo phần trăm. Kết hợp hai dữ kiện này lại với nhau có thể tạo ra khoảng 14 triệu dấu hiệu để nhận dạng thiết bị. Và những dữ kiện này hoàn toàn có thể hoạt động như một ID.

Hơn nữa, những giá trị này được cập nhật khoảng 30 giây một lần, điều này có nghĩa là cứ nửa phút API tình trạng pin lại xác định những người dùng đang truy cập trang web.

Ví dụ, nếu người dùng truy cập một trang web ở chế độ duyệt web riêng tư của Chrome bằng VPN, trang web sẽ không thể xác định được và liên kết với lần truy cập tiếp theo khi mà chế độ duyệt web riêng tư và VPN được tắt đi.

Tuy nhiên, API tình trạng pin phá hỏng lý thuyết chúng ta vừa nói ở trên. "Trang web hoàn toàn có thể phát hiện và liên kết danh tính mới và cũ của bạn trong hai lần truy cập với các phương thức kết nối khác nhau nhờ API tình trạng pin. Bằng cách so sánh thời lượng pin và số lần sạc/xả, trang web sẽ nhận ra người dùng và cài đặt lại cookie theo phương pháp có tên respawning".

Tệ hơn, trên một số nền tảng, các nhà nghiên cứu còn phát hiện ra rằng API này có thể xác định dung lượng pin tối đa của thiết bị, tạo ra một số liệu để so sánh các thiết bị với nhau.

Theo The Guardian