你可能从来没想过智慧型手机的电池也可能威胁个人隐私吧？但根据一项最新的研究发现事实正是如此。由于网页编程语言HTML5存在漏洞，让网站可以利用行动装置的电池寿命资料辨识用户身份。

　　为了协助各网站让浏览其页面的行动装置电池寿命最佳化，全球资讯网协会(World Wide Web Consortium；W3C)在2012年推出了电池状态应用程式介面(API)。其基本功能在于让网站得以看到用户的行动装置剩余多少电池用量，使其得以在必要时切换至低功耗模式页面。例如，以Chrome、Firefox与Opera等浏览器浏览网站时，如果网站侦测到用户的行动装置剩余有限电量，即可暂停选择耗电的功能。

　　根据比利时与法国安全研究人员发布的一项研究显示，这种电池状态API存在几个问题。首先，W3C规范中并未要求网站预先取得查询用户装置电池寿命的许可。仅在一部份的规范中解释：“所披露的资讯对于个人隐私或指纹的影响微乎其微，因而不需用户授权。”

　　但研究人员并不同意这样的说法。

　　网站能够从浏览其页面的装置取得相当多的资讯。所记录的资料包括估计电池放电所需的时间，以及剩余的电池寿创百分比。结合这些数字与资料可能成为一种辨识用户行动装置的辨识码组合。

　　此外，这些资料每30秒就更新一次。这些资料的特殊性，以及收集资料的频率，都明显提高了辨识与锁定用户身份的机会。

　　“在很短的间隔，这种电池状态API可用于追踪用户辨识码，”研究人员解释说。“当用户以新的身份再度浏览网站时，可能会利用浏览器的无痕模式或清除cookies及其客户端辨识码。但在一段短时间间隔内连续浏览，网站就能利用电池电量与充/放电时间，自动连结用户的新、旧辨识码。网站还能重新引用用户的cookies及其他客户端辨识码，这种方法即所谓的‘重生’(respawning)。”

　　你认为企业虚拟私有网路(VPN)会保护你吗？并不会！研究人员警告道。

　　“在企业环境下，装置之间共享类似的特性与IP位址，并在防火墙之后，利用电池资讯来区别装置，”根据该研究指出，浏览网站的装置通常为他们带来足够的资料，使其得以为智慧型手机附加上半永久性的辨识码。但这样的方式令人感到不安。

　　电池状态API的隐私问题从2012年起就不断受到讨论，至今却还未加以修改。研究人员建议，只要让电池用量的读数变得不那么精确些，就能解决这个隐私顾虑。向下调整电池寿命的数值并不至于影响功能性，但已足以保护用户免于被辨识。