Cómo el estado de la batería de tu smartphone puede ser usado para identificarte

Otra vuelta de tuerca contra la privacidad... al parecer se están utilizando los indicadores de estado de batería para realizar seguimiento a dispositivos, o al menos eso corroboran los investigadores de la Universidad de Princeton.

Existe un estándar web *de momento y al parecer* poco conocido que permite a los propietarios de los sitios web ver en detalle el tiempo de duración de la batería de un dispositivo móvil, algo que sin embargo y que ya se advirtió... podría permitir el seguimiento online.

La API de estado de la batería se introdujo en la quinta versión de HTML5, disponible en agosto de 2015 en Firefox, Opera y Chrome, y como comentamos permite a los propietarios del sitio ver el porcentaje de duración de la batería de un dispositivo, así como el tiempo que tardará en agotarse o el tiempo que necesita para cargarse, además de si está conectado a una fuente de alimentación.

Precisamente la combinación del porcentaje y de los segundos de duración de la batería ofrece 14m combinaciones, proporcionando un identificador pseudo-único para cada dispositivo.

Supongamos que un usuario carga una página web "A" en su versión de Firefox y luego abre otra página web "B" utilizando un navegador Chrome en modo de navegación privada y a través de una VPN segura. Por lo general, sería muy difícil asociar las dos conexiones entre sí, pero si se abren ambas páginas casi a la vez es posible saber que los dos dispositivos son el mismo viendo el estado de la batería.

Ahora, dos investigadores de seguridad de la Universidad de Princeton han demostrado que el indicador de estado de la batería se está utilizando en la práctica realmente para realizar un seguimiento de los usuarios. Mediante la ejecución de un navegador especialmente modificado, Steve Engelhard y Arvind Narayanan encontraron dos secuencias de comandos de seguimiento que utilizan la API de "huella digital" de un dispositivo específico, lo que les permite identificarlo continuamente a través de múltiples contextos.

La investigación fue subrayada por Lukasz Olejnik, uno de los cuatro investigadores que llamó primero la atención sobre los posibles problemas con la API de estado de la batería en el año 2015. Aunque Olejnik logró cierta repercusión después de su advertencia, la API todavía tiene el potencial de usarse de forma indebida.

Y mientras que de momento parece que sólo se utiliza para seguimiento, Olejnik advierte: "Algunas empresas pueden estar analizando la posibilidad de monetizar el acceso a los niveles de la batería", escribe. "Cuando la batería se está agotando, las personas podrían ser propensos a tomar ciertas decisiones. En tales circunstancias, los usuarios estarán de acuerdo en pagar más por un servicio".

Fuentes:
- Your battery status is being used to track you online
- Paper: The leaking battery - A privacy analysis of the HTML5 Battery Status API

0 comentarios :

Publicar un comentario en la entrada