El nivel de batería del «smartphone» es algo que preocupa a los usuarios. Siempre estamos pendientes por miedo a quedarnos incomunicados. Pero, sin saberlo, tener el «smartphone» cargado a a la mitad o una tercera parte es más peligroso que nunca. Y no solo porque podamos quedarnos sin WhatsApp, sino porque la privacidad del usuario corre peligro.
Una investigación reciente asegura que el nivel de batería restante de sus dispositivos es el dato clave con el que poder localizar a los usuarios. El informe «The leaking battery. A privacy analysis of the HTML5 Battery Status API», alerta de «los riesgos de privacidad asociados con el estado de la batería» en lenguaje HTML5, la última novedad del lenguaje básico de la red, pues permite «rastrear a los usuarios en intervalos de tiempo cortos». Los investigadores aseguran que «la capacidad de la batería pueden servir potencialmente como un identificador de seguimiento».
Este «atentado» contra la privacidad supone una novedad que debe solventarse rápidamente. Para que los usuarios entiendan la gravedad de esta vulnerabilidad, los cuatro autores de esta investigación explican que Firefox, Opera y Chrome soportan la API del estado de la batería para las páginas web que consultan los usuarios con el objetivo de ayudarles a ahorrar energía en sus dispositivos. La API no requiere permiso del usuario para leer la información de la batería. Se trata de una medida introducida en 2012 por el World Wide Web Consortium (W3C) que aseguraba que «la información revelada tiene un impacto mínimo en la privacidad o las huellas digitales» del usuario.
Sin embargo, la investigación demuestra que esta premisa no se respeta y ofrece un análisis pormenorizado en Firefox en los sistemas operativos con Linux. «Encontramos que en Windows, Mac OS X y Android, el nivel de la batería informado por Firefox tiene sólo dos dígitos significativos (por ejemplo 0,32)», explican los autores, mientras que el código fuente de Firefox es mucho más preciso. Tanto que, entre otras informaciones, una web puede saber los segundos que le quedan a un dispositivo para que su batería se descargue.
Todos esos datos recopilados pueden convertirse en un número identificador. Es decir, en una especie de DNI con el que los usuarios son identificados en una página web. Además, aunque se utilice la navegación privada o se borre las «cookies» y otros datos de identificación del cliente, también se puede ser identificado. En este tipo de navegación, los investigadores señalan: «Cuando las visitas se hacen de forma consecutiva en un corto intervalo de tiempo, el sitio web puede vincular a los usuarios nuevos y antiguos mediante el nivel de batería y carga/tiempo de descarga que le queda. Entonces, el sitio web puede reinstalar las ‘cookies’ de los usuarios y otros identificadores».
Por tanto, para que el usuario no vea amenazada su privacidad, los autores de la investigación proponen: por un lado, redondear el valor del nivel de la batería otorgado por la API, de esta manera, no perdería funcionalidad y «la amenaza se reduciría al mínimo»; por otro, pedir permiso del usuario para acceder a la API de estado de la batería.
No hay comentarios:
Publicar un comentario