Quando nel browser aprite una finestra per navigare ‘in sessione privata’ si presume che tutto quello che viene aperto all’interno di quella finestra rimanga privato. Eppure non è così: un nuovo documento spiega come la batteria del vostro smartphone o portatile può essere utilizzata per compromettere la vostra privacy.
Come riportato dal sito Mashable, che cita un rapporto prima pubblicato dal The Guardian, una caratteristica del nuovo standard web HTML5 chiamata ‘Battery Status API’ che possiamo tradurre come ‘API di stato della batteria’ permetterebbe ai siti web di controllare lo stato della batteria del dispositivo con tale precisione che potrebbe essere utilizzata per monitorare le mosse degli utenti in brevi intervalli di tempo. E questo anche se si sta utilizzando il popolare software Tor per nascondere la propria identità.
Questo accade perché l’API di stato della batteria può raccogliere diverse informazioni sulla batteria del dispositivo – il suo livello, tempo di ricarica e il tempo impiegato per lo scaricamento. Insieme, questi dati sono pressoché unici per ogni dispositivo (ciascun utente utilizza il telefono in maniera diversa), il che significa che i potenziali aggressori potrebbero creare un’impronta digitale del dispositivo e monitorare la sua attività sul web.
L’API di stato della batteria è uno standard attualmente supportato nei browser Firefox, Opera e Chrome, ed è stato introdotto dal World Wide Web Consortium (W3C, l’organizzazione che sovrintende lo sviluppo di standard del web) nel 2012, con l’obiettivo di aiutare i siti web a limitare il consumo dell’energia del dispositivo degli utenti. Grazie a queste API viene data la possibilità ad un sito web (o applicazione web) di notare quando il visitatore ha poca batteria, e quindi mostrare una versione della pagina web basso consumo disabilitando caratteristiche come immagini pesanti, flash, javascript il cui caricamento potrebbe richiedere un consumo di energia elevato.
"Nei brevi intervalli di tempo, ‘Battery Status API’ può essere usato per tracciare gli utenti… In un ambiente aziendale, in cui i dispositivi condividono caratteristiche simili e gli indirizzi IP, le informazioni sulla batteria possono essere utilizzate per distinguere i dispositivi NAT, se i meccanismi di monitoraggio tradizionali non funzionano", spiega il documento.
Il documento è stato firmato da alcuni ricercatori di sicurezza francesi e belgi – Lukasz Olejnik, Gunes Acar, Claude Castelluccia, e Claudia Diaz – ed è stato segnalato inizialmente dal The Guardian, secondo cui a partire dal giugno 2015 la funzionalità di HTML5 chiamata ‘Battery Status API’ viene utilizzata sui browser Firefox, Opera e Chrome. Secondo il documento, i potenziali problemi di privacy dell’API di stato della batteria sono stati discussi già nel 2012, ma l’API non è stata modificata.
Tutti i dispositivi dotati di batteria e della possibilità di navigare su internet sono quindi potenzialmente vulnerabili. Evitare il monitoraggio di questo tipo di informazioni sarebbe quindi molto difficile. Il rischio, spiega il documento, è più elevato nel caso di dispositivi con batterie vecchie o usate con capacità ridotta.