به گزارش سافت گذر به نقل ازمجله شبکه؛ در
حالت ایدهآل، سایتها و برنامههای کاربردی با استفاده از این تابع
زمانیکه وضعیت باتری دستگاه رو به کاهش است، به حالت low power سوییچ کرده
و بسیاری از ویژگیهای غیر اصلی را غیرفعال میکنند. اما این قابلیت که
Batter Status API نامیده میشود، این پتانسیل را دارد تا برای مقاصد دیگری
نیز مورد استفاده قرار گیرد. Battery Status API یکی از ویژگیهای خاص
HTML5 در ارتباط با بررسی وضعیت باتری دستگاهها است.
این
قابلیت به سایتها اجازه میدهد، وضعیت باتری دستگاه کاربر را در فواصل
زمانی کوتاه مدت زیر نظر بگیرند. جالب آنکه حتا اگر از ابزارهای اختفا
استفاده کنید، باز هم شانسی برای پنهان شدن ندارید، به دلیل اینکه ویژگی
بهطور مستقیم با باتری در تعامل است. Battery Status قادر است اطلاعاتی
همچون وضعیت فعلی باتری، مدت زمان شارژ و مدت زمان تخلیه باتری را بدون
آنکه نیازی به مجوز کاربر برای دسترسی به این اطلاعات داشته باشد، در
اختیار سایتها قرار دهند. این تابع بهگونهای طراحی شده است که به مرورگر
اجازه میدهد بدون اطلاع کاربر این اطلاعات را ارسال کند. در نتیجه
سایتها و اسکرپیتهای ثالث به وضوح به این اطلاعات دسترسی خواهند داشت.
محققان امنیتی سال گذشته، هشدار دادند این قابلیت ممکن است برای نوشتن
کدهایی مورد استفاده قرار گیرند که در نهایت به دنبال کردن آنلاین کاربران
ختم شود.
نگرانیهای کارشناسان امنیتی به واقعیت تبدیل شد
اکنون
بعد از گذشت یک سال یک گروه تحقیقاتی از دانشگاه پرینستون تایید کردهاند
که این چنین تهدیدی ممکن است بهطور واقعی جامعیت پیدا کند. بهطوری که از
ترکیب اطلاعاتی که در بالا به آنها اشاره گردید، میتوان برای دنبال کردن
کاربران در یک سایت استفاده کرد. البته باید به این نکته اشاره کنیم که
HTML5 مشخصه منحصر به فرد کاربری را همراه با اطلاعات مرتبط با وضعیت باتری
ارسال نمیکند، اما ترکیب منحصر به فردی که تعدادی از سایتها استفاده
میکنند، به آنها اجازه میدهد، این اطلاعات را با آدرس IP شما تطبیق داده
و به کلیت مهمی در ارتباط با شما دست پیدا کنند. متاسفانه باید بگوییم
آنها اینکار را با ضریب اطمینان بالایی انجام میدهند.
آیا باید نگران این اتفاق باشیم؟
بهطور
معمول سایتها از این ترفند برای بهبود نمایش تبلیغات به کاربران یا زمانی
که پای یک مسدود کننده در میان باشد استفاده میکنند. بهطوری که حتا با
وجود یک مسدود کننده قادر خواهند بود وضعیت آنلاین شما و عادتهای شما را
به واسطه این ویژگی از پیش ساخته شده توسط مرورگر شما مورد بررسی قرار
دهند. لوکاس اولینیک یکی از اولین پژوهشگران امنیتی که سال گذشته موفق به
شناسایی این مشکل شد، در این ارتباط گفته است: «بعید است، بتوانیم به عواقب
غیرمنتظره این ویژگی در ارتباط با نقص حریم خصوصی آگاه شویم. به همین دلیل
لازم است همواره ویژگیهای جدید، استانداردها، طراحیها معماریها و
محصولات از زاویه حریم خصوصی مورد بررسی قرار گیرند.» W3C که بازیگر اصلی
HTML5 به شمار میرود، از این آسیبپذیری آگاه بوده و با اولینیک و دیگر
محققان در تماس بوده است. اما هنوز به درستی مشخص نیست آیا این سازمان
برنامهای برای حل این مشکل دارد یا خیر. به دلیل اینکه تنها راهحل این
مشکل حذف این قابلیت است.
زمانی که این قابلیت وجود دارد چه لزومی به استفاده از کوکیها است
در
فواصل زمانی کوتاه مدت، تابع بررسی باتری، توانایی ردیابی لحظه به لحظه
کاربران را دارد، درست مثل آنکه یک کوکی روی دستگاه کاربر نصب شده باشد.
علاوه بر این، در شرایطی که اندازه بیش از اندازه بزرگ کوکیها، به کاربران
امکان شناسایی و پاک کردن آنها را میدهد، اطلاعات باتری میتوانند بدون
نشان دادن هیچگونه علائمی مورد استفاده قرار گیرند. در یک محیط سازمانی که
دستگاهها مشخصات و آدرسهای IP یکسانی را به اشتراک قرار میدهند،
اطلاعات باتری برای تشخیص دستگاههایی که در پشت NAT قرار گرفتهاند و
ردیابی آنها با از روشهای سنتی امکانپذیر نیست، میتواند مورد استفاده
قرار گیرند. لوکاس الینیک، گونس آکار، کلودس کاستلوچیا و کلودیا یاز محققان
امنیتی کشورهای بلژیک و فرانسه اولین بار نتیجه تحقیقات خود را در ژوئن
2015 در سایت گاردین منتشر ساختند.