16 种 Web API 对苹果用户隐私构成威胁

苹果表示，16种新Web API为在线广告商增加新的用户指纹识别机会。

苹果公司本周表示，它拒绝在Safari中实施16种新Web技术（Web API），因为它们通过为用户指纹识别开辟新途径，对用户隐私构成了威胁。

苹果公司由于用户指纹问题而拒绝在Safari中使用的技术包括：

• Web蓝牙-允许网站连接到附近的Bluetooth LE设备。
• Web MIDI API-允许网站枚举，操纵和访问MIDI设备。
• 磁力计API-允许网站访问有关设备周围主要磁场的数据，该数据由设备的主要磁力计传感器检测到。
• Web NFC API-允许网站通过设备的NFC阅读器与NFC标签进行通信。
• 设备内存API-允许网站接收以GB为单位的设备内存。
• 网络信息API-提供有关设备用于与网络通信的连接信息，并提供一种在连接类型更改时通知脚本的方法。
• 电池状态API-允许网站接收有关主机设备电池状态的信息。
• Web蓝牙扫描-允许网站扫描附近的Bluetooth LE设备。
• 环境光传感器-使网站可以通过设备的本机传感器获取托管设备周围环境光的当前亮度或照度。
• EME的HDCP策略检查扩展名-允许网站检查在媒体流/播放中使用的HDCP策略。
• 接近传感器-允许网站检索有关设备与物体之间距离的数据，该数据由接近传感器测量。
• WebHID-允许网站检索有关本地连接的人机接口设备（HID）设备的信息。
• 串行API-允许网站从串行接口写入和读取数据，这些接口被微控制器，3D打印机和其他设备使用。
• Web USB-使网站可以通过USB（通用串行总线）与设备进行通信。
• 地理位置传感器（背景地理位置）-旧的地理位置API的更新版本，可让网站访问地理位置数据。
• 用户空闲检测-让网站知道用户何时空闲。

苹果公司声称上述16种Web API将允许在线广告商和数据分析公司创建脚本来对用户及其设备进行指纹识别。

用户指纹是广告客户在每个用户的浏览器中加载并运行的小脚本。脚本通常针对通用Web API或通用Web浏览器功能执行一组标准操作，并测量响应。

由于每个用户都有不同的浏览器和操作系统配置，因此每个用户设备的响应都是唯一的。广告商使用此唯一响应（指纹）以及其他指纹和数据点，为每个用户创建唯一标识符。

在过去的三年中，用户指纹已经成为跟踪在线广告技术市场中用户的标准方法。

浏览器制造商一直在部署反跟踪功能，这些功能限制了第三方（跟踪）cookie的功能和范围，从而向用户指纹转变。

一些浏览器制造商还一直在部署对策，以通过最常用的方法（例如字体，HTML5 canvas和WebGL）防止指纹操作，但目前并非所有用户指纹矢量都被阻止。

此外，浏览器制造商正在不断创建新的API，并将新的Web API添加到其代码中。

目前，苹果已将上述16种Web API确定为最严重的违规者。但是，这家浏览器制造商表示，如果其中任何一项新技术“降低了指纹识别能力”，它将重新考虑将其添加到Safari中。

苹果表示：“ WebKit抵御指纹的第一道防线是不实施可增加指纹识别能力的Web功能，并且不提供保护用户的安全方法。”

苹果表示，对于几年前已经在Safari中实现的Web API，苹果一直在努力限制其指纹识别能力。到目前为止，苹果表示：

• 删除了对自定义字体的支持。这意味着只对同一系统的所有用户显示相同的内置字体。
• 从用户代理字符串中删除了次要软件更新信息。该字符串仅随平台和浏览器的市场营销版本而改变。
• 删除了“不跟踪”标志，该标志被用作指纹矢量，从而为启用它的用户增加了唯一性。
• 删除了对macOS上所有插件的支持。其他桌面端口可能有所不同。（插件在iOS上从来都不是问题。）
• 网站必须获得用户许可才能访问移动设备上的设备方向/运动API，因为运动传感器的物理特性可能允许设备指纹识别。
• 通过Web实时通信API（WebRTC）防止连接的相机和麦克风的指纹。