Una API de HTML5 permite utilizar la batería de tu móvil para saber qué haces en Internet

La API de Estado de Batería o "Battery API" es uno de los componentes de HTML5, el nuevo estándar de la web W3C hace dos años. En principio, la API hace algo tan inocente como permitir que las páginas que visitamos sepan en estado de la batería de nuestros dispositivos para que puedan ofrecernos versiones más ligeras.

Pero diferentes estudios presentados por investigadores de seguridad apuntan a que las combinaciones de los datos que se pueden obtener con esta API son las suficientes como para poder utilizarlos como identificadores de dispositivos. Con ellos no se puede saber quienes somos, pero sí espiar nuestro comportamiento en la red sin pedirnos permiso.

Una buena idea que se vuelve en nuestra contra

La API de Estado de Batería sólo ofrece tres datos concretos, el porcentaje de carga actual del dispositivo, el tiempo total que falta para que la batería se descargue y el que haría falta para que se cargase por completo si el dispositivo estuviera conectado a un cargador. Con ellos se pretende que las webs puedan detener la ejecución de contenidos u ofrecer versiones menos exigentes dependiendo del estado de nuestra batería.

En la página de la propia W3C se asegura que la información revelada por la API tiene un impacto mínimo sobre la privacidad de los usuarios. Sin embargo, el año pasado apareció un primer estudio que apuntaba en la dirección contraria, argumentando que con los datos de estos tres parámetros se pueden obtener hasta 14 millones de combinaciones numéricas, suficientes para utilizase como un identificador único bastante fiable.

El otro gran problema reside en que los datos ofrecidos por la API no se actualizan demasiado rápido. Esto quiere decir que, al mantenerse estáticos, pueden servir para que el identificador les permita a empresas y webs utilizar scripts con los que registrar las páginas que visitan los usuarios de un dispositivo.

Imagináos un script concreto que ha sido alojado en las páginas X e Y, y que sea capaz de obtener el código numérico de la API de Estado de Batería. Aunque tras visitar X eliminásemos cookies u otros elementos de rastreo, incluso aunque utilizásemos VPNs, si cuando visitemos Y la API no se ha actualizado el script volverá a identificarnos, y sus responsables podrán saber que hemos ido de X a Y.

Las webs ya se están aprovechando de ello

En otro estudio publicado el mes pasado por investigadores de la Universidad de Princeton ha demostrado que esta técnica está siendo utilizada por diferentes empresas para identificar la huella dactilar efímera que crea esta API en diferentes contextos. Lukasz Olejnik, uno de los investigadores del estudio del año pasado, especula en su blog con la posibilidad de que haya empresas que estén analizando la posibilidad de monetizar el acceso a los niveles de batería de los usuarios.

El que estos datos hayan salido a la luz ya ha causado varias reacciones. En primer lugar Mozilla, cuyo navegador Firefox es uno de los más vulnerables al utilizarse en Linux, ha lanzado un fix para tratar de parchear el problema. La W3C también ha avisado del problema en su web, aunque una vez descubierto qué se puede hacer con la API es posible que vayan saliendo nuevos métodos para aprovecharse de ella.

Vía | Lukasz Olejnik
Imágenes | Martin Abegglen y slavik_V
En Xataka | Así te pueden espíar y grabar conversaciones a través del micrófono de tu smartphone

Ver todos los comentarios en https://www.xataka.com

VER 11 Comentarios

Portada de Xataka