L’analisi della privacy mostra lo stato della batteria API come strumento di monitoraggio

smartphone
Credito: Peter Griffin/dominio pubblico

La stessa funzione di stato della batteria HTML5 che ti consente di vedere come stai e quanto succo ti rimane potrebbe anche renderti vulnerabile: A Mashable l’editore senior, Stan Schroeder, ha riferito martedì su un articolo che mostra come l’API dello stato della batteria può essere utilizzata per tenere traccia della tua attività su Internet.

Come può essere? James Titcomb in il telegrafo ha dichiarato: “Il difetto risiede nell’API di stato della batteria – un insieme di protocolli – per HTML5, l’attuale versione del linguaggio del Web. L’API fornisce a un browser Web, come Google Chrome o Firefox, informazioni su uno smartphone, un tablet o la durata della batteria del laptop, che gli consente di attivare le modalità di risparmio energetico quando il succo sta per esaurirsi.”

Schroeder ha affermato che l’API di stato della batteria può estrarre diverse informazioni sul livello della batteria del dispositivo, il tempo di ricarica e il tempo di scarica. “Combinati, questi dati sono quasi unici per ogni dispositivo, il che significa che consentono ai potenziali aggressori di creare un’impronta digitale del tuo dispositivo e tenere traccia delle tue attività sul web”.

Le due pubblicazioni si riferivano al documento di quattro ricercatori francesi e belgi. Il documento è “The leaking battery: A privacy analysis of the HTML5 Battery Status API” di Lukasz Olejnik, Gunes Acar, Claude Castelluccia e Claudia Diaz.

Gli autori hanno scritto: “La nostra analisi indica che le informazioni apparentemente innocue fornite dall’API Battery Status possono fungere da identificatore di tracciamento se implementate in modo errato”.

Hanno affermato che l’API di stato della batteria HTML5 consente ai siti Web di accedere allo stato della batteria di un dispositivo mobile o di un laptop e, inoltre, tutte le informazioni esposte dall’API di stato della batteria sono disponibili senza che l’utente sia consapevole che qualcosa di insolito è in corso. Questa API consente ai siti Web di controllare lo stato della batteria degli utenti senza dover ottenere il loro permesso per farlo.

I risultati degli autori hanno mostrato che l’API implementata dal browser Firefox sul sistema operativo GNU/Linux ha consentito il rilevamento delle impronte digitali e il tracciamento dei dispositivi con batterie in brevi intervalli di tempo. Gli autori hanno affermato che Chrome e Opera, oltre a Firefox, erano browser che supportano l’API Battery Status.

Per quanto a nostra conoscenza, hanno affermato gli autori, “l’unico browser che ha una forte difesa contro il fingerprinting da parte dell’API Battery Status è Tor Browser. Tor Browser disabilita completamente l’API per contrastare possibili tentativi di fingerprinting”.

Titcomb ha sottolineato che le persone che ricorrono alla navigazione privata come strumento di mascheramento potrebbero ancora essere seguite utilizzando i dati della batteria, secondo i ricercatori. Ha detto: “Uno script potrebbe utilizzare l’API di stato della batteria per tenere traccia di un utente di Internet che ha cancellato i propri dati di navigazione e quindi ripristinare identificatori come i cookie, all’insaputa dell’utente, un processo noto come respawning. Ciò consentirebbe di tenere traccia l’utente a sua insaputa.”

I ricercatori hanno affermato che “sperano di attirare l’attenzione su questo problema di privacy dimostrando i modi per abusare dell’API per il rilevamento delle impronte digitali e il monitoraggio”. Gli autori hanno affermato che la loro segnalazione di bug per Firefox è stata accettata ed è stata implementata una correzione.

Nel loro articolo, gli autori hanno anche discusso delle possibili difese contro lo sfruttamento dell’API dello stato della batteria. Un tale approccio sarebbe che, per limitare il potenziale di tracciamento e rilevamento delle impronte digitali dell’API di stato della batteria, le implementazioni evitino di fornire valori ad alta precisione.

“Semplicemente arrotondando il valore del livello della batteria, la minaccia sarebbe ridotta al minimo, senza perdere alcuna funzionalità dell’API”, hanno scritto. “Questo commento si applica in particolare alle piattaforme in cui il sistema operativo fornisce letture ad alta precisione sulla batteria”.


Leave a Reply