El seguimiento es uno de los problemas graves de la privacidad a los usuarios se enfrentan a diario. Si un partido quiere obtener su información personal, puede llegar a ser muy creativos en las maneras de obtenerlo. Uno de los más recientes métodos de recolección de datos no estándar es a través de la llamada API de estado de la batería, un estándar para los navegadores HTML5.
¿Qué es un API de estado de la batería?
La API de estado de la batería, más a menudo se refiere como la API de batería, proporciona información sobre el nivel de carga de la batería del sistema y le permite ser notificado por eventos que se envían cuando el nivel de batería o cambio de estado de carga. Esto se puede utilizar para ajustar el uso de recursos de su aplicación para reducir el consumo de batería cuando la batería está baja, o para guardar los cambios antes de que la batería se agota con el fin de evitar la pérdida de datos. (vía developer.mozilla.org)
Investigadores de la Universidad de Princeton han demostrado que la API de la batería también permite al propietario de un sitio para pedir nivel actual de la batería del dispositivo específico o el estado de carga. Este potencial riesgo para la privacidad que era traido a la luz el año pasado se está convirtiendo en una preocupación real.
Una característica poco conocida de la especificación HTML5 significa que los sitios web pueden averiguar la cantidad de energía de la batería visitante ha dejado en su ordenador portátil o teléfono inteligente - y ahora, los investigadores de seguridad han advertido que esa información se puede utilizar para realizar un seguimiento de los navegadores en línea, The Guardian escribió en aquel entonces.
Curiosamente, los autores de la norma no creía que fuera a iniciar un tema de huellas dactilares. Sin embargo, resultó más tarde que las lecturas altamente detalladas en realidad puede administrar un identificador de pseudo-único para cada dispositivo.
Dos secuencias de comandos explotar el estado de la batería API para los usuarios de huellas dactilares
Steven Englehardt y Arvind Narayanan, los investigadores de Princeton, descubierto dos secuencias de comandos que utilizan la API de la batería para los usuarios en línea de huellas dactilares.
Sus descubrimientos son parte de un gran escala, investigación en curso que se centra exclusivamente en el seguimiento. Los investigadores utilizan una herramienta especial llamada privacidad OpenWPM (que se ejecuta en Firefox) los cuales identifica técnicas de seguimiento a través de Internet.
Una de las secuencias de comandos mencionados anteriormente recupera el nivel de carga actual del dispositivo y lo añade a otros detalles de identificación y la dirección IP local del usuario. El otro script recupera el estado de carga actual, el nivel de carga, y la cantidad de tiempo restante para recargar.
Uno de los investigadores originales que primero nos topamos con este problema, Lukasz Olejnik, dice que esas lecturas podrían ser explotados por otros medios, así:
Además, algunas empresas pueden analizar la posibilidad de monetizar el acceso a los niveles de la batería. Cuando la batería se está agotando, personas podrían ser propensos a algunos – de otro modo diferente – decisiones. En tales circunstancias, los usuarios estarán de acuerdo en pagar más por un servicio de.
Para hacer frente a este problema de privacidad, algunos fabricantes de navegadores están considerando la opción de restringir o eliminar el acceso a los mecanismos de lectura de la batería completamente.