通過(guò)電池狀態(tài)來(lái)追蹤智能手機(jī)使用者的網(wǎng)上活動(dòng)，這話(huà)乍一聽(tīng)似乎有些不太可能，但它可能并沒(méi)有那么牽強(qiáng)。即使沒(méi)有惡意軟件或黑客攻擊，HTML5規(guī)范中的一個(gè)內(nèi)置組件——Power Status API——仍有可能將你偷偷地給出賣(mài)了。該組件原意旨在幫助降低功耗，因此網(wǎng)站和應(yīng)用可以借助它來(lái)監(jiān)測(cè)筆記本、平板、以及手機(jī)的電池電量。

不過(guò)，由一組安全研究人員發(fā)表的論文卻稱(chēng)，其存在巨大的隱私風(fēng)險(xiǎn)。因?yàn)榧词箖H使用到剩余電量信息，也可能導(dǎo)致用戶(hù)被識(shí)別并在線(xiàn)追蹤。

據(jù)英國(guó)《衛(wèi)報(bào)》報(bào)道，比利時(shí)和法國(guó)隱私安全專(zhuān)家表示，該API可用于鑒別“設(shè)備指紋”——即通過(guò)監(jiān)測(cè)網(wǎng)站訪(fǎng)客的電池狀態(tài)——如當(dāng)前充電等級(jí)、以及完成充電所需的時(shí)長(zhǎng)。

當(dāng)將信息片段組合起來(lái)之后，就能夠形成類(lèi)似supercookie的唯一標(biāo)識(shí)符。對(duì)于那些年久的設(shè)備來(lái)說(shuō)，由于其電池使用壽命進(jìn)一步縮短，所以更容易產(chǎn)生唯一的‘標(biāo)識(shí)符’。

Firefox、Opera和Chrome已支持該API（微軟的IE和Edge瀏覽器除外）。安全人員憤怒地指出：“我們希望大家能夠提起對(duì)于該API被濫用于‘特征識(shí)別’和追蹤時(shí)的隱私問(wèn)題的關(guān)注”。

尷尬的是，在制定HTML5標(biāo)準(zhǔn)時(shí)，W3C并未考慮到向用戶(hù)發(fā)出電池狀態(tài)API被調(diào)用的警告，該機(jī)構(gòu)稱(chēng)：“所披露的信息對(duì)保密性或‘特征’的影響極小，因此不考慮授權(quán)許可”。

為了克服安全和隱私上的麻煩，文章作者認(rèn)為需要對(duì)API收集到的讀書(shū)進(jìn)行四舍五入。畢竟這么做并不會(huì)干擾到API的正常功能，但可以消除被追蹤的尷尬。

最后，研究人員還認(rèn)為，擁有訪(fǎng)問(wèn)權(quán)限的API應(yīng)交由用戶(hù)去請(qǐng)求，而不是在默認(rèn)情況下即許可使用。