Es una nueva comunidad sobre el reciente estándar de la web Html5, donde puedes encontrar tutoriales, tips, consejos, información, noticias y demás en un solo lugar.


Apoya la comunidad con $1 USD, queremos mejorar y compartir más conocimiento.

API Battery Status. Una forma de espiar con HTML5


  Publicado hace |  Etiquetas: , , , , ,

¿Puede la duración de la batería de nuestros dispositivos móviles ser usada para invadir la privacidad?

La respuesta es si!.

Cuando en junio pasado se dio a conocer que Firefox, Opera y Chrome admitirían la función HTML5 como predeterminada, los investigadores de seguridad francesas y belgas: Lukasz Olejnik, Gunes Acar, Claude Castelluccia, y Claudia Díaz, se dieron cuenta que las visitas que generaba un usuario a las páginas web de dichos navegadores generaban información peligrosa para ellos mismos.

¿Cómo funciona?

Por medio de la batería de nuestros dispositivos móviles y las visitas a navegadores (Opera, Chrome y Firefox), éstos pueden revelar información de seguridad por medio de las evercookies.

Esto sucede porque la API de estado de la batería puede obtener cierta información (nivel, tiempo de carga y tiempo de descarga). Tales datos son únicos para cada dispositivo, permitiendo a gente maliciosa obtener una huella digital y el seguimiento de tus actividades en la web.

Por lo que, nadie se encuentra exento de vulnerabilidades, prácticamente todos los dispositivos lo son. El mayor riesgo son para las baterías viejas o usadas con capacidades reducidas.

Según el periódico The Guardian, los posibles problemas de privacidad de la API Battery Status se han discutido desde el 2012, pero la API no ha sido revisada ni mucho menos alterada para subir sus defensas.

Según los investigadores antes mencionados, argumentan que la solución es fácil de llevar a cabo realizando lecturas de la batería menos precisas sin perder la funcionalidad correspondiente.

Información de la batería

Al momento que uno visita una página web se genera un canal de comunicación paralelo donde el o los dueños de tal sitio tienen acceso a toda la información del visitante, probablemente usando técnicas de WebBrowsing Fingerprinting. En este caso, los datos que se pudiesen obtener serán más o menos precisos, puesto que depende mucho la implementación del código usado y el cómo se programe en los diferentes navegadores de Internet.

Para el sitio web es suficiente con invocar el método navigator.getBattery() consiguiendo un objeto de tipo BatteryManager, y que creen? Aquí es cuando se obtiene toooda la información de la batería, como nivel de carga, el tiempo estimado de carga o si está cargando el teléfono, nivel de descarga e inclusive si te encuentras conectado a la red.

Los que estamos en el mundo de la informática sabemos que esto puede ser muy sencillo de implementar y analizar o descifrar en todo caso, pero las personas que no tienen el conocimiento de absolutamente nada sobre estos temas, es demasiado complicado darse una idea del peligro en el que se encuentran.

En cualquiera de los dos casos, ten en cuenta que una vez que la persona obtiene tal información puede llegar a perfilar a un dispositivo, lo que puede causar la creación de una cookie de seguimiento temporal que le permita a la persona reconocer a un equipo con un alto grado de fiabilidad.

 Fuente: Un informático en el lado del mal

comments powered by Disqus