Tin tặc có thể hack pin để theo dõi người dùng điện thoại

Một nhóm các nhà nghiên cứu bảo mật của Châu Âu vừa phát hành một bài báo phân tích cách sử dụng pin của thiết bị di động để theo dõi thói quen duyệt web của người sử dụng Firefox trên Linux thông qua việc khai thác API HTML5 Battery Status.

Phiên bản Firefox mà các nhà nghiên cứu sử dụng là bản cập nhật trong tháng 6 của trình duyệt này. Các nhà nghiên cứu tập trung mối quan tâm vào một API cho phép các trang web kiểm tra tình trạng pin của người dùng mà không cần phải có được sự cho phép của họ.

API này không cần sự đồng ý của người dùng để khai thác các thông tin về pin, bất kỳ trang web hoặc bên thứ ba nào khác đều có thể khai thác API này. API này cũng không yêu cầu trình duyệt thông báo thông tin cho người dùng khi thông tin về pin đang được truy cập. Điều này cho phép các trang web thu thập các thông tin về thói quen của người duyệt web trong khi bản thân họ không hề biết về điều này.

Mục đích của các API này là giúp trang web kiểm tra trình trạng pin của thiết bị nhằm chuyển từ phiên bản tiêu tốn nhiều năng lượng sang phiên bản ít tính năng nhưng tiết kiệm năng lượng hơn. Tuy nhiên, các nhà nghiên cứu phát hiện ra rằng cách thức mà API này hoạt động trên Firefox có vấn đề, nó cho phép truyền đi những thông tin “có vẻ vô hại” nhưng có thể khiến các trang web theo dõi người dùng ở những lần duyệt web tiếp theo, kể cả khi họ duyệt web ở chế độ riêng tư (private) hay sau khi đã xóa các tập tin cookie.

Cũng theo các nhà nghiên cứu vấn đề này chỉ xuất hiện khi thiết bị truy cập web bằng trình duyệt Firefox trên nền Linux. Còn với Windows, Mac OS X và Android kết quả thu được chưa đủ độ chính xác.

Việc phân tích các tiêu chuẩn Web, các API và triển khai của chúng tiết lộ những thông tin bảo mật hết sức bất ngờ khi người dùng tiếp xúc với các trang web. Tính chất phức tạp, số lượng khá lớn và sự can thiệp sâu vào hệ thống của các API làm cho người dùng thông thường khó lòng phòng tránh các nguy cơ bảo mật này. Các nhà nghiên cứu và các kỹ sư có thể giúp giải quyết vấn đề riêng tư của các rủi ro được áp đặt bởi các API này bằng cách phân tích các tiêu chuẩn và triển khai của chúng để tạo ra các thông báo cho người dùng khi pin của thiết bị đang bị trang web khai thác thông tin.

Các nhà nghiên cứu cũng chứng minh rằng các trang web có thể theo dõi người dùng bằng những công cụ khác mà ít ai ngờ đến như font chữ, đặc điểm giao thức mạng, JavaScript, hoặc WebGL. Cuối tháng trước, các chuyên gia bảo mật cũng đã mô phỏng thành công kỹ thuật thu thập cách người dùng sử dụng các tổ hợp phím từ đó phân tích ra thói quen đánh máy của họ, thậm chí là thu thập được những nội dung mà họ đã gõ trên bàn phím.

Tham khảo: techcrunch