16 種 Web API 對蘋果用戶隱私構成威脅

蘋果表示，16種新Web API為在線廣告商增加新的用戶指紋識別機會。

蘋果公司本周表示，它拒絕在Safari中實施16種新Web技術（Web API），因為它們通過為用戶指紋識別開辟新途徑，對用戶隱私構成了威脅。

蘋果公司由于用戶指紋問題而拒絕在Safari中使用的技術包括：

• Web藍牙-允許網站連接到附近的Bluetooth LE設備。
• Web MIDI API-允許網站枚舉，操縱和訪問MIDI設備。
• 磁力計API-允許網站訪問有關設備周圍主要磁場的數據，該數據由設備的主要磁力計傳感器檢測到。
• Web NFC API-允許網站通過設備的NFC閱讀器與NFC標簽進行通信。
• 設備內存API-允許網站接收以GB為單位的設備內存。
• 網絡信息API-提供有關設備用于與網絡通信的連接信息，并提供一種在連接類型更改時通知腳本的方法。
• 電池狀態API-允許網站接收有關主機設備電池狀態的信息。
• Web藍牙掃描-允許網站掃描附近的Bluetooth LE設備。
• 環境光傳感器-使網站可以通過設備的本機傳感器獲取托管設備周圍環境光的當前亮度或照度。
• EME的HDCP策略檢查擴展名-允許網站檢查在媒體流/播放中使用的HDCP策略。
• 接近傳感器-允許網站檢索有關設備與物體之間距離的數據，該數據由接近傳感器測量。
• WebHID-允許網站檢索有關本地連接的人機接口設備（HID）設備的信息。
• 串行API-允許網站從串行接口寫入和讀取數據，這些接口被微控制器，3D打印機和其他設備使用。
• Web USB-使網站可以通過USB（通用串行總線）與設備進行通信。
• 地理位置傳感器（背景地理位置）-舊的地理位置API的更新版本，可讓網站訪問地理位置數據。
• 用戶空閑檢測-讓網站知道用戶何時空閑。

蘋果公司聲稱上述16種Web API將允許在線廣告商和數據分析公司創建腳本來對用戶及其設備進行指紋識別。

用戶指紋是廣告客戶在每個用戶的瀏覽器中加載并運行的小腳本。腳本通常針對通用Web API或通用Web瀏覽器功能執行一組標準操作，并測量響應。

由于每個用戶都有不同的瀏覽器和操作系統配置，因此每個用戶設備的響應都是唯一的。廣告商使用此唯一響應（指紋）以及其他指紋和數據點，為每個用戶創建唯一標識符。

在過去的三年中，用戶指紋已經成為跟蹤在線廣告技術市場中用戶的標準方法。

瀏覽器制造商一直在部署反跟蹤功能，這些功能限制了第三方（跟蹤）cookie的功能和范圍，從而向用戶指紋轉變。

一些瀏覽器制造商還一直在部署對策，以通過最常用的方法（例如字體，HTML5 canvas和WebGL）防止指紋操作，但目前并非所有用戶指紋矢量都被阻止。

此外，瀏覽器制造商正在不斷創建新的API，并將新的Web API添加到其代碼中。

目前，蘋果已將上述16種Web API確定為最嚴重的違規者。但是，這家瀏覽器制造商表示，如果其中任何一項新技術“降低了指紋識別能力”，它將重新考慮將其添加到Safari中。

蘋果表示：“ WebKit抵御指紋的第一道防線是不實施可增加指紋識別能力的Web功能，并且不提供保護用戶的安全方法。”

蘋果表示，對于幾年前已經在Safari中實現的Web API，蘋果一直在努力限制其指紋識別能力。到目前為止，蘋果表示：

• 刪除了對自定義字體的支持。這意味著只對同一系統的所有用戶顯示相同的內置字體。
• 從用戶代理字符串中刪除了次要軟件更新信息。該字符串僅隨平臺和瀏覽器的市場營銷版本而改變。
• 刪除了“不跟蹤”標志，該標志被用作指紋矢量，從而為啟用它的用戶增加了唯一性。
• 刪除了對macOS上所有插件的支持。其他桌面端口可能有所不同。（插件在iOS上從來都不是問題。）
• 網站必須獲得用戶許可才能訪問移動設備上的設備方向/運動API，因為運動傳感器的物理特性可能允許設備指紋識別。
• 通過Web實時通信API（WebRTC）防止連接的相機和麥克風的指紋。