Pin điện thoại cũng có thể do thám người dùng?

	Hai mẫu smartphone pin khỏe của Philips lần đầu giảm giá
	Bé trai vỡ thủy tinh thể sau vụ nổ pin đồ chơi Trung Quốc

Một tính năng ít được biết đến của cấu hình HTML5 cho phép các website có thể phát hiện ra laptop hoặc smartphone của người ghé thăm còn lại bao nhiêu pin, và giờ đây, các chuyên gia bảo mật cảnh báo rằng, thông tin này thậm chí có thể bị khai thác để theo dõi các trình duyệt.

Trạng thái pin API hiện đang được nhiều trình duyệt như Firefox, Opera và Chrome hỗ trợ, cũng như được tổ chức W3C (chuyên giám sát sự phát triển của các chuẩn web) giới thiệu vào năm 2012, với mục đích giúp các website tiết kiệm pin cho người dùng. Trên lý tưởng, một website hoặc ứng dụng có thể tự nhận biết được khi nào thì thiết bị của khách ghé thăm sắp hết pin, từ đó tự động chuyển sang chế độ low-power bằng cách tắt các tính năng không cần thiết.

Nói cách khác, API có thể xác định thời lượng pin của thiết bị mà không cần phải hỏi xin ý kiến người dùng. Lập luận của W3C là "thông tin tiết lộ có tác động tối thiểu đến sự riêng tư cá nhân hoặc nhân dạng của người dùng, vì thế có thể tiếp cận mà không cần xin phép". Thế nhưng 4 nhà nghiên cứu của Bỉ và Pháp không hề nghĩ vậy.

Họ chỉ ra rằng thông tin mà website nhận được trong trường hợp này cụ thể một cách "bất ngờ", chẳng hạn như thời gian ước tính (chính xác đến giây) cho đến khi pin cạn hoàn toàn, cũng như phần trăm pin còn lại của thiết bị. Hai thông số này khi kết hợp với nhau có thể hoạt động như một số ID tiềm năng. Bên cạnh đó, những giá trị này tồn tại trong khoảng 30 giây trước khi được cập nhật mới, nên trong vòng nửa phút, trạng thái pin API có thể được hacker sử dụng để nhận dạng người dùng trên nhiều website khác nhau.

Lấy thí dụ, nếu như bạn ghé thăm một website bằng chế độ duyệt riêng tư của Chrome thông qua kết nối VPN, website lẽ ra không thể liên kết chúng với bạn trong trường hợp cả chế độ riêng tư và VPN đều tắt. Nhưng trên thực tế vẫn có những lỗ hổng. "Khi hai lượt ghé thăm diễn ra quá gần nhau, dưới 30 giây, website sẽ có thể kết nối danh tính mới và cũ của người dùng bằng cách nhận biết thời lượng pin và thời gian cạn pin. Website sau đó có thể tái kích hoạt cookie và các phần mềm nhận dạng người dùng khác".

Tệ hơn nữa, đối với một số nền tảng, website còn có thể đoán định dung lượng pin tối đa của thiết bị nếu có đủ dữ liệu, từ đó so sánh các thiết bị với nhau.

Tất nhiên, bản thân pin thì không thể tự mình do thám bạn được. Chỉ là nó bị khai thác một cách ngoài ý muốn dù bạn có đồng ý hay không mà thôi. Và tin an ủi là các thông tin bị lộ không bao gồm tên tuổi, địa chỉ hay số thẻ tín dụng của bạn, nhưng nếu như website có thể tìm ra liên hệ giữa pin với khách truy cập, chúng có tiềm năng để theo dõi nhiều hơn nữa về bạn trong tương lai. Việc trốn sau mạng ảo VPN cũng chẳng giúp ích gì được nữa.