آیا باتری اسمارت‌فون‌ها دشمن حریم خصوصی ما هستند؟

به گزارش سافت گذر به نقل ازمجله شبکه؛ در حالت ایده‌آل، سایت‌ها و برنامه‌های کاربردی با استفاده از این تابع زمانی‌که وضعیت باتری دستگاه رو به کاهش است، به حالت low power سوییچ کرده و بسیاری از ویژگی‌های غیر اصلی را غیرفعال می‌کنند. اما این قابلیت که Batter Status API نامیده می‌شود، این پتانسیل را دارد تا برای مقاصد دیگری نیز مورد استفاده قرار گیرد. Battery Status API یکی از ویژگی‌های خاص HTML5 در ارتباط با بررسی وضعیت باتری‌ دستگاه‌ها است.

این قابلیت به سایت‌ها اجازه می‌دهد، وضعیت باتری دستگاه کاربر را در فواصل زمانی کوتاه مدت زیر نظر بگیرند. جالب آن‌که حتا اگر از ابزارهای اختفا استفاده کنید، باز هم شانسی برای پنهان شدن ندارید، به دلیل این‌که ویژگی به‌طور مستقیم با باتری در تعامل است. Battery Status قادر است اطلاعاتی همچون وضعیت فعلی باتری، مدت زمان شارژ و مدت زمان تخلیه باتری را بدون آن‌که نیازی به مجوز کاربر برای دسترسی به این اطلاعات داشته باشد، در اختیار سایت‌ها قرار دهند. این تابع به‌گونه‌ای طراحی شده است که به مرورگر اجازه می‌دهد بدون اطلاع کاربر این اطلاعات را ارسال کند. در نتیجه سایت‌ها و اسکرپیت‌های ثالث به وضوح به این اطلاعات دسترسی خواهند داشت. محققان امنیتی سال گذشته، هشدار دادند این قابلیت ممکن است برای نوشتن کدهایی مورد استفاده قرار گیرند که در نهایت به دنبال کردن آنلاین کاربران ختم شود.

نگرانی‌های کارشناسان امنیتی به واقعیت تبدیل شد

اکنون بعد از گذشت یک سال یک گروه تحقیقاتی از دانشگاه پرینستون تایید کرده‌اند که این چنین تهدیدی ممکن است به‌طور واقعی جامعیت پیدا کند. به‌طوری که از ترکیب اطلاعاتی که در بالا به آن‌ها اشاره گردید، می‌توان برای دنبال کردن کاربران در یک سایت استفاده کرد. البته باید به این نکته اشاره کنیم که HTML5 مشخصه منحصر به فرد کاربری را همراه با اطلاعات مرتبط با وضعیت باتری ارسال نمی‌کند، اما ترکیب منحصر به فردی که تعدادی از سایت‌ها استفاده می‌کنند، به آن‌ها اجازه می‌دهد، این اطلاعات را با آدرس IP شما تطبیق داده و به کلیت مهمی در ارتباط با شما دست پیدا کنند. متاسفانه باید بگوییم آن‌ها این‌کار را با ضریب اطمینان بالایی انجام می‌دهند.

آیا باید نگران این اتفاق باشیم؟

به‌طور معمول سایت‌ها از این ترفند برای بهبود نمایش تبلیغات به کاربران یا زمانی که پای یک مسدود کننده در میان باشد استفاده می‌کنند. به‌طوری که حتا با وجود یک مسدود کننده قادر خواهند بود وضعیت آنلاین شما و عادت‌های شما را به واسطه این ویژگی از پیش ساخته شده توسط مرورگر شما مورد بررسی قرار دهند. لوکاس اولینیک یکی از اولین پژوهش‌گران امنیتی که سال گذشته موفق به شناسایی این مشکل شد، در این ارتباط گفته است: «بعید است، بتوانیم به عواقب غیرمنتظره این ویژگی در ارتباط با نقص حریم خصوصی آگاه شویم. به همین دلیل لازم است همواره ویژگی‌های جدید، استانداردها، طراحی‌ها معماری‌ها و محصولات از زاویه حریم خصوصی مورد بررسی قرار گیرند.» W3C  که بازیگر اصلی HTML5 به شمار می‌رود، از این آسیب‌پذیری آگاه بوده و با اولینیک و دیگر محققان در تماس بوده است. اما هنوز به درستی مشخص نیست آیا این سازمان برنامه‌ای برای حل این مشکل دارد یا خیر. به دلیل این‌که تنها راه‌حل این مشکل حذف این قابلیت است.

زمانی که این قابلیت وجود دارد چه لزومی به استفاده از کوکی‌ها است

در فواصل زمانی کوتاه مدت، تابع بررسی باتری، توانایی ردیابی لحظه به لحظه کاربران را دارد، درست مثل آن‌که یک کوکی روی دستگاه کاربر نصب شده باشد. علاوه بر این، در شرایطی که اندازه بیش از اندازه بزرگ کوکی‌ها، به کاربران امکان شناسایی و پاک کردن آن‌ها را می‌دهد، اطلاعات باتری می‌توانند بدون نشان دادن هیچ‌گونه علائمی مورد استفاده قرار گیرند. در یک محیط سازمانی که دستگاه‌ها مشخصات و آدرس‌های IP یکسانی را به‌ اشتراک قرار می‌دهند، اطلاعات باتری برای تشخیص دستگاه‌هایی که در پشت NAT قرار گرفته‌اند و ردیابی آن‌ها با از روش‌های سنتی امکان‌پذیر نیست، می‌تواند مورد استفاده قرار گیرند. لوکاس الینیک، گونس آکار، کلودس کاستلوچیا و کلودیا یاز محققان امنیتی کشورهای بلژیک و فرانسه اولین بار نتیجه تحقیقات خود را در ژوئن 2015 در سایت گاردین منتشر ساختند.