ردیابی کاربران از روی باتری اسمارت‌فون و لپ‎تاپ

وضعیت API باتری چیست؟

یک ویژگی گنجانده شده در HTML5 است که به منظور کمک به وب‌سایت‎ها برای صرفه‌جویی در مصرف انرژی آن دسته از کاربرانی که مقدار کمی‎ از عمر باتری آنها باقی مانده است از آن استفاده می‎شود. اساسا یک وب‌سایت می‎تواند وضعیت باتری هر دستگاهی را بر اساس دقایق یا درصد باقی مانده از عمر آن شناسایی کند. بر این اساس، این وب‌سایت می‎تواند به طور خودکار قابلیت‎هایی را که در صفحات وب از باتری زیاد استفاده می‎کنند را به منظور صرفه جویی در مصرف انرژی غیرفعال کند.

چطور حريم خصوصی شما در معرض خطر قرار می‎گیرد؟

تا اینجای کار که وجود چنین قابلیتی خیلی هم خوب به نظر می‎رسد، متاسفانه اصلی‎ترین مشکل API این است که وبسایت‎ها می‎توانند بدون دریافت اجازه از بازدیدکنندگان خود این اطلاعات را جمع‌آوری کنند. این محققان به این نتیجه رسیده‎اند که وبسایت‎ها می‎توانند از طریق یک اسکریپت ثالث اطلاعات به دست آمده از چندین بازدیدکننده را با هم ترکیب کنند و به این شکل ردپایی از هر یک از آنها را به دست آورند. به طور نظری این اتفاق می‎تواند روی هر وب‌سایتی رخ دهد و حتی کاربرانی را هم که به طور مرتب کوکی‎ها را پاک می‎کنند یا از طریق VPN یا فایروال به اینترنت متصل می‎شوند را نیز تحت تاثیر قرار ‎دهد.

این مشکل بالقوه به سال 2012 و بعد از معرفی ویژگی API در کنسرسیوم جهانی وب باز می‎گردد. بخش Security and privacy considerations شامل این بیانیه است: «اطلاعات فاش شده تاثیر بسیار کمی‎ روی حریم خصوصی یا امکان ردیابی کاربران دارد، و به همین دلیل بدون کسب اجازه از آن استفاده می‎شود.»

آیا شما در معرض خطر هستید؟

به نظر می‎رسد ترس حاصل از نتیجه چنین تحقیقی در دنیای فناوری کمی‎ مبالغه‌آمیز باشد. ظاهرا وجود این خطر بالقوه بسیار محدود است. این مطالعه تنها توسط مرورگر فایرفاکس در سیستم‌عامل لینوکس و با استفاده از ابزار UPower صورت گرفته است. این محققان اطلاعات را از مرورگر فایرفاکس در ویندوز، سیستم‌عامل مک اپل و آندرويد برای به دست آوردن ردپای کاربر جمع‌آوری کرده‎اند.

علاوه بر این، این محققان گزارشی را از وجود یک نقص در عملکرد فایرفاکس در لینوکس ثبت کرده‎اند که این مشکل در ژوئن 2015 برطرف شد. این مطالعه هرگز وضعیت مشابه‎ای را نه در مرورگر کروم و نه مرورگر اپرا، یا حتی یک دستگاه موبایل اثبات نکرده است.

این گزارش مشکلی را نشان می‎دهد که قبلا برطرف شده است، اما هدفش این بوده تا توجه عمومی‎ را به این مشکل امنیتی به وسیله نشان دادن راه‎های سوء استفاده احتمالی از قابلیت API برای شناسایی و ردیابی قربانیان جلب کند. قبل از به راه انداختن وحشت‎های این‌چنینی، لازم است مدارک و شواهد بیشتری جمع‌آوری شود. حتی اگر چنین شواهدی پیدا شد، با به‎روزرسانی API از جمله کسب اجازه از کاربر یا هر چیز ضروری دیگر می‎توان چنین مشکلات احتمالی را خنثی کرد.