La API Battery Status permite a las webs conocer el estado de carga de nuestra batería. Aunque estos datos podrían parecer inocuos, diversos estudios han demostrado que la misma están siendo usando para identificarnos, trazar nuestra actividad, etc.. violando de esta manera nuestra privacidad a la hora de utilizar nuestros dispositivos. Firefox se ha puesto manos a la obra elimando esta API a partir de su versión 52.

firefox

Originalmente esta API se pensó para permitir a las webs poder obtener los niveles de nuestra batería y de este modo modificar su entrega, por ejemplo evitando determinados procesos si el nivel de batería fuera bajo. la API Battery Status provee los siguientes datos:

  • nivel de batería actual (0.00 vacía a 1.0 llena)
  • tiempo en segundos hasta que se agote
  • tiempo en segundos hasta que se cargue (si está conectada)

Vamos a ver a continuación como un tercero podría a partir de esta API obtener datos que violarían nuestra privacidad y permitirían identificarnos.

Con los datos de frecuencia de cargas se podría monitorizar la actividad de un usuario, si está o no en esos momentos usando el dispositivo por ejemplo, si se produce algún cambio significativo en el uso del mismo durante un cierto periodo de tiempo..Incluso a través de un script malicioso en la propia web, testear la capacidad de computación del dispositivo teniendo en cuenta los aumentos de consumo de batería ante determinados inputs por parte de la web que podrían indicar la capacidad del dispositivo y su idoneidad para ciertos objetivos.

Estos datos de la misma manera también pueden ser usados para identificar objetivos. Por ejemplo, en entornos tras una NAT y que navegan a través de una IP única, se podría identificar fácilmente a determinados grupos de usuarios o usuarios y determinar su comportamiento. Por ejemplo saber si hay usuarios que trabajan con dispositivos móviles, la movilidad durante un periodo de tiempo de los mismos,etc...

Además estos datos pueden no cambiar lo suficientemente rápido permitiendo identificar a un mismo usuario a través de su navegación en diferentes webs, pudiendo generar un perfil de la actividad del mismo por mucho que este trate de evitar este seguimiento a través de por ejemplo cookies. Por si todo esto fuera poco, dada la exactitud de los datos de carga total del dispositivo, este valor podría ser tomado como identificador único de un dispositivo en concreto.

Como vemos, son múltiples las opciones a través de las cuales se puede espiar a través de los datos de esta API y obviamente esto no ha pasado desapercibido para gente que se quiere aprovechar de los mismos (no tan solo cibercriminales, sino tiendas online, motores de anuncios..), habiéndose detectado una buena variedad de scripts haciendo uso de los mismo. Afortunadamente Mozilla sigue siendo abanderado de la privacidad online y ha reaccionado cortando por lo sano y eliminando esta API de su navegador. Por su parte Safari, según las últimas informaciones, podría también seguir en la misma dirección.

Fuente Mozilla

Fuente Lukasz Olejnik