你可能從來沒想過智慧型手機的電池也可能威脅個人隱私吧？但根據一項最新的研究發現事實正是如此。由於網頁編程語言HTML5存在漏洞，讓網站可以利用行動裝置的電池壽命資料辨識用戶身份。

為了協助各網站讓瀏覽其頁面的行動裝置電池壽命最佳化，全球資訊網協會(World Wide Web Consortium；W3C)在2012年推出了電池狀態應用程式介面(API)。其基本功能在於讓網站得以看到用戶的行動裝置剩餘多少電池用量，使其得以在必要時切換至低功耗模式頁面。

例如，以Chrome、Firefox與Opera等瀏覽器瀏覽網站時，如果網站偵測到用戶的行動裝置剩餘有限電量，即可暫停選擇耗電的功能。 根據比利時與法國安全研究人員發佈的一項研究顯示，這種電池狀態API存在幾個問題。

首先，W3C規範中並未要求網站預先取得查詢用戶裝置電池壽命的許可。僅在一部份的規範中解釋：「所披露的資訊對於個人隱私或指紋的影響微乎其微，因而不需用戶授權。」 但研究人員並不同意這樣的說法。

網站能夠從瀏覽其頁面的裝置取得相當多的資訊。所記錄的資料包括估計電池放電所需的時間，以及剩餘的電池壽創百分比。結合這些數字與資料可能成為一種辨識用戶行動裝置的辨識碼組合。 此外，這些資料每30秒就更新一次。

這些資料的特殊性，以及收集資料的頻率，都明顯提高了辨識與鎖定用戶身份的機會。 「在很短的間隔，這種電池狀態API可用於追蹤用戶辨識碼，」研究人員解釋說。

「當用戶以新的身份再度瀏覽網站時，可能會利用瀏覽器的無痕模式或清除cookies及其客戶端辨識碼。但在一段短時間間隔內連續瀏覽，網站就能利用電池電量與充/放電時間，自動連結用戶的新、舊辨識碼。

網站還能重新引用用戶的cookies及其他客戶端辨識碼，這種方法即所謂的『重生』(respawning)。」 你認為企業虛擬私有網路(VPN)會保護你嗎？並不會！研究人員警告道。 「在企業環境下，裝置之間共享類似的特性與IP位址，並在防火牆之後，利用電池資訊來區別裝置，」根據該研究指出，瀏覽網站的裝置通常為他們帶來足夠的資料，使其得以為智慧型手機附加上半永久性的辨識碼。但這樣的方式令人感到不安。 

電池狀態API的隱私問題從2012年起就不斷受到討論，至今卻還未加以修改。研究人員建議，只要讓電池用量的讀數變得不那麼精確些，就能解決這個隱私顧慮。向下調整電池壽命的數值並不至於影響功能性，但已足以保護用戶免於被辨識。