Giới thiệu: Khi pin của bạn “tố cáo” bạn

Trên chiến trường của cuộc chơi bảo mật kỹ thuật số, dấu vân tay trình duyệt không còn là khái niệm mới. Từ Canvas fingerprint, WebGL fingerprint đến Audio fingerprint, cuộc tấn công và phòng thủ giữa kẻ tấn công và các công cụ chống phát hiện liên tục leo thang. Tuy nhiên, một chiều kích nhỏ bé hầu như bị đa số mọi người bỏ qua — thông tin pin, đang âm thầm trở thành “món khoái khẩu” mới để theo dõi người dùng. Một nghiên cứu năm 2024 cho thấy, thông qua Battery Status API để lấy được dung lượng pin, trạng thái sạc và thời gian xả, có thể kết hợp tạo ra hơn 3 triệu “dấu vân tay pin” độc đáo. Ngay cả khi bạn xóa sạch Cookie, thay đổi IP, trạng thái pin của bạn vẫn có thể giống như DNA, đánh dấu bạn là một cá thể duy nhất.

Đối với những người làm trong lĩnh vực thương mại điện tử xuyên biên giới, quản lý truyền thông xã hội cần quản lý nhiều tài khoản, hoặc bất kỳ người dùng nào có yêu cầu cao về quyền riêng tư, việc hiểu và phòng thủ chống lại dấu vân tay pin không còn là bài toán tùy chọn. Bài viết này sẽ đi sâu phân tích nguyên lý hoạt động của dấu vân tay pin, rủi ro thực tế, và đưa ra các giải pháp chống phát hiện thiết thực.

Dấu vân tay thông tin pin là gì? Hoạt động như thế nào?

Nguyên lý kỹ thuật: Battery Status API

Nguồn dữ liệu của dấu vân tay pin là Battery Status API trong tiêu chuẩn W3C, ban đầu được thiết kế để giúp các ứng dụng web điều chỉnh chức năng dựa trên dung lượng pin của thiết bị (như giảm hoạt ảnh, nhắc nhở sạc). API này tiết lộ các thông tin chính sau:

• charging: Giá trị boolean, cho biết thiết bị có đang sạc hay không
• chargingTime: Thời gian sạc còn lại (giây), đặc biệt nếu đã đầy hoặc là -1
• dischargingTime: Thời gian xả còn lại (giây), nếu là Infinity thì có nghĩa là không xả
• level: Số thập phân từ 0 đến 1, biểu thị phần trăm dung lượng pin còn lại

Mỗi tham số riêng lẻ có thể không độc đáo, nhưng khi kết hợp lại có thể tạo thành một định danh có entropy cao. Ví dụ, một thiết bị nào đó lúc 3 giờ chiều hiển thị “pin 67%, đang sạc, thời gian sạc còn lại 42 phút”, trong khi một thiết bị cùng model khác cùng thời điểm có thể hiển thị “pin 92%, không sạc, thời gian xả còn lại 5 giờ”. Vì các giá trị này bị ảnh hưởng bởi sự khác biệt phần cứng (dung lượng pin, mức độ lão hóa, đường cong sạc/xả) và yếu tố môi trường (nhiệt độ, tải sử dụng), nên sự kết hợp của chúng hầu như không trùng lặp trong hàng nghìn thiết bị.

Tính lặp lại và ổn định

Không giống như các đặc điểm tĩnh của Canvas fingerprint truyền thống, dấu vân tay pin có tính ổn định động: mặc dù nó thay đổi theo thời gian, nhưng nó giữ nguyên trong một khoảng thời gian ngắn (ví dụ vài phút) và mô hình thay đổi có thể dự đoán được. Người theo dõi chỉ cần ghi lại tất cả các tham số trong lần truy cập đầu tiên, và trong các lần truy cập sau, bằng cách phát hiện “trạng thái sạc” và “phạm vi dung lượng pin” là có thể khớp với xác suất cao. Nghiên cứu cho thấy, ngay cả khi dung lượng pin thay đổi từ 67% lên 68%, kết hợp với trạng thái sạc/xả, vẫn duy trì được độ chính xác khớp trên 95%.

Tại sao khó bị người dùng phát hiện?

Hầu hết các trình duyệt không chủ động nhắc nhở “một trang web nào đó đang đọc thông tin pin của bạn”. Đáng sợ hơn, Battery Status API có thể được gọi cả trên giao thức HTTP và HTTPS, và không cần sự cho phép của người dùng (Chrome và Firefox phiên bản đầu đã hỗ trợ). Mặc dù Chrome từ năm 2020 đã dần loại bỏ API này (mặc định vô hiệu hóa), nhưng vẫn còn rất nhiều trình duyệt dựa trên Chromium (như Edge, Opera, 360, Sogou) giữ lại chức năng này, và các tập lệnh của bên thứ ba có thể gián tiếp lấy trạng thái pin thông qua các phương thức hack (ví dụ thông qua polyfill của navigator.getBattery()). Điều này có nghĩa là, một đoạn mã theo dõi “thông thường” có thể thu thập dấu vân tay pin mà người dùng không hề hay biết.

Rủi ro về quyền riêng tư và kịch bản ứng dụng thực tế của dấu vân tay pin

Theo dõi quảng cáo: “Sợi dây sinh mệnh” bạn không thể thoát

Các giải pháp thay thế cho các liên minh quảng cáo (như Google AdSense) luôn cố gắng vượt qua các hạn chế Cookie. Dấu vân tay pin, nhờ tính ổn định xuyên phiên và không cần lưu trữ lâu dài, trở thành định danh mới lý tưởng. Ví dụ, một nền tảng quảng cáo thương mại điện tử thu thập dấu vân tay pin khi người dùng lần đầu duyệt web, sau đó người dùng xóa Cookie và chuyển IP, nhưng khi truy cập lần thứ hai, nền tảng quảng cáo phát hiện “pin 75%, đang sạc” khớp với lịch sử, lập tức xác định là cùng một người dùng và gửi quảng cáo sản phẩm mà người dùng đã xem trước đó. Phương pháp theo dõi này hầu như không thể bị chặn bởi các công cụ bảo mật thông thường.

Liên kết tài khoản: Điểm yếu chết người của vận hành đa tài khoản

Đối với người bán hàng thương mại điện tử xuyên biên giới, quản lý truyền thông xã hội, điều đáng sợ nhất là tài khoản bị nền tảng xác định là “liên kết”. Giả sử bạn vận hành đồng thời 5 cửa hàng Amazon, sử dụng 5 máy tính khác nhau, trình duyệt khác nhau, proxy IP khác nhau, nhưng tất cả các thiết bị đều mở bảng điều khiển trong cùng một khoảng thời gian (ví dụ từ 10-11 giờ sáng) và trạng thái pin đều hiển thị “pin 80%-90%, không sạc”. Hệ thống kiểm soát rủi ro của Amazon có thể so sánh sự tương đồng của dấu vân tay pin, kết hợp với các chiều khác (như độ phân giải màn hình, múi giờ, font chữ đã cài), cuối cùng liên kết 5 tài khoản và dẫn đến khóa cửa hàng. Trong thực tế, đã có người bán chịu thiệt hại vì điều này - họ đã tắt Canvas fingerprint, hạn chế WebGL, nhưng lại bỏ qua pin - “đèn tín hiệu thở” này.

Rò rỉ dữ liệu: Thông tin pin bị lạm dụng như thế nào?

Rủi ro tinh vi hơn đến từ các tập lệnh độc hại. Trong một số kịch bản chợ đen, kẻ tấn công chèn mã thu thập dấu vân tay pin thông qua lỗ hổng XSS, kết hợp với các thông tin rò rỉ khác (như email, số điện thoại) để tạo hồ sơ người dùng, phục vụ cho lừa đảo có chủ đích. Ví dụ, kẻ tấn công biết rằng pin của một người dùng luôn bắt đầu sạc vào lúc 3 giờ chiều (điện thoại kết nối sạc ở văn phòng), do đó gửi email giả mạo cơ quan thuế với nội dung “Pin của bạn bất thường”, dụ người dùng nhấp vào liên kết độc hại.

Làm thế nào để phát hiện và phòng thủ dấu vân tay pin?

Phát hiện dấu vân tay pin của chính bạn

Nếu bạn muốn xác nhận xem thiết bị của mình có lộ thông tin pin hay không, bạn có thể truy cập một số công cụ kiểm tra dấu vân tay trực tuyến (như amiunique.org, browserleaks.com). Các trang web này sẽ liệt kê tất cả thông tin API có thể lấy được. Nếu thấy mục “Battery State”, xin chúc mừng, quyền riêng tư của bạn đang bị phơi bày. Bạn cũng có thể thực thi navigator.getBattery().then(b => console.log(b)) trong công cụ dành cho nhà phát triển của trình duyệt để xem dữ liệu trả về.

Chiến lược phòng thủ thủ công

1. Vô hiệu hóa Battery Status API: Trong Chrome, vào chrome://flags/#enable-experimental-web-platform-features và tắt tính năng thử nghiệm này. Đối với Firefox, tìm kiếm dom.battery.enabled trong about:config và đặt thành false. Tuy nhiên, lưu ý nhiều trình duyệt nội địa (như 360, QQ Browser) không cung cấp tùy chọn này.
2. Sử dụng tiện ích mở rộng bảo mật: Các tiện ích như Privacy Badger, uBlock Origin có thể chặn một số tập lệnh theo dõi, nhưng bất lực trước các tập lệnh gọi API trực tiếp.
3. Hạn chế thực thi Javascript: Vô hiệu hóa hoàn toàn JS có thể giải quyết triệt để, nhưng hầu hết các trang web không thể hoạt động bình thường, không thực tế.

Giải pháp cốt lõi: Sử dụng trình duyệt chống phát hiện chuyên nghiệp

Phòng thủ thủ công phân mảnh và kém hiệu quả, đặc biệt đối với các nhà vận hành cần chuyển đổi tài khoản thường xuyên, duy trì nhiều danh tính. Một giải pháp thanh lịch hơn là sử dụng trình duyệt chống phát hiện dấu vân tay, nó có thể mô phỏng hoặc giả mạo thông tin pin ở cấp độ nền tảng, làm cho mỗi cửa sổ trình duyệt hiển thị các tham số pin độc đáo và hợp lý.

Ví dụ, NestBrowser kiểm soát chi tiết ở chiều này. Nó không chỉ tự động tạo dấu vân tay pin độc lập cho mỗi môi trường trình duyệt (bao gồm dung lượng pin, trạng thái sạc/xả, thời gian sạc/xả), mà còn hỗ trợ người dùng tùy chỉnh phạm vi giá trị - bạn có thể đặt một môi trường là “pin 80%, đang sạc, thời gian sạc còn lại 30 phút”, môi trường khác là “pin 35%, không sạc, thời gian xả còn lại 2 giờ”. Mức độ chi tiết này đủ để tránh mọi rủi ro liên kết dựa trên thông tin pin. Đồng thời, NestBrowser còn hỗ trợ kiểm tra một cú nhấp chuột tất cả các dấu vân tay trong môi trường hiện tại (bao gồm Canvas, WebGL, Audio, Font, v.v.), giúp người dùng trực quan thấy thông tin pin có được mô phỏng chính xác hay không, thực sự “chỉ điểm nào đánh điểm đó”.

Giá trị cốt lõi của công cụ chống phát hiện: Không chỉ dấu vân tay pin

Dấu vân tay pin chỉ là phần nổi của tảng băng. Giá trị của trình duyệt chống phát hiện hiện đại nằm ở quản lý thống nhất dấu vân tay toàn cục. Lấy NestBrowser làm ví dụ, kiến trúc cốt lõi của nó xoay quanh thiết kế “cách ly dấu vân tay”:

• Môi trường độc lập: Mỗi hồ sơ trình duyệt (Profile) có các tham số pin, phần cứng, múi giờ, ngôn ngữ, độ phân giải,… hoàn toàn độc lập. Khi bạn mở Profile A, nó giống như một máy tính xách tay hoàn toàn mới; Profile B giống như một điện thoại cũ đang sạc.
• Dấu vân tay động: Hỗ trợ thiết lập chiến lược thay đổi ngẫu nhiên dấu vân tay. Ví dụ, dung lượng pin dao động ngẫu nhiên ±2% sau mỗi 30 phút, mô phỏng hành vi thực tế của con người hơn.
• Tích hợp proxy tốc độ cao: Chế độ đơn mở + điều khiển nhóm, kết hợp với IP riêng, đạt được cách ly tuyệt đối môi trường tài khoản. Một người bán hàng thương mại điện tử xuyên biên giới sau khi sử dụng NestBrowser, đã vận hành đồng thời 30 cửa hàng Shopify, trong 6 tháng không có bất kỳ liên kết nào dẫn đến khóa tài khoản.

Từ góc độ thực tế, phòng thủ chống dấu vân tay pin không nên thực hiện riêng lẻ. Một hệ thống quản lý đa tài khoản hoàn chỉnh cần bao phủ: Canvas fingerprint, WebGL fingerprint, Audio fingerprint, Font fingerprint, độ phân giải màn hình, múi giờ, ngôn ngữ, UserAgent, rò rỉ WebRTC, và dấu vân tay pin được đề cập trong bài viết này. Chỉ khi bao phủ tất cả các chiều này, và duy trì sự nhất quán hoặc khác biệt hợp lý trong từng môi trường trình duyệt, mới có thể chống lại hiệu quả các hệ thống kiểm soát rủi ro hiện đại.

Kết luận: Mặt trận tiếp theo của bảo vệ quyền riêng tư

Sự trỗi dậy của dấu vân tay thông tin pin phản ánh sự “tiến hóa theo hướng chi tiết” của công nghệ theo dõi kỹ thuật số. Mỗi lần bịt lỗ hổng kỹ thuật lại thúc đẩy sự ra đời của các chiều phát hiện mới. Đối với những người làm việc đòi hỏi quyền riêng tư tối đa, không nên có tâm lý may rủi “chỉ làm lần này thôi”, mà nên áp dụng các giải pháp chống phát hiện có hệ thống, mang tính kỹ thuật.

Nếu bạn muốn tìm hiểu sâu hơn về việc thiết bị của mình có bị rò rỉ dấu vân tay pin hay không, hoặc muốn thêm một lớp khóa bảo mật cho hệ thống đa tài khoản hiện có, hãy dùng thử NestBrowser phiên bản chuyên nghiệp - nó có tính năng “kiểm tra sức khỏe dấu vân tay” tích hợp, có thể quét một cú nhấp chuột 126 chỉ số dấu vân tay bao gồm cả pin, và đưa ra các khuyến nghị tối ưu. Trong cuộc chiến bảo vệ quyền riêng tư, những người biết trước và cảnh giác mới giành được thế chủ động.