Esiste una funzionalità intrinseca in HTML5 molto particolare: si chiama Battery Status API e, come suggerisce il nome, permette ai siti web di controllare lo stato della batteria del vostro cellulare, con una precisione talmente elevata da essere sconcertante. A detta dei ricercatori, una sensibilità così precisa potrebbe venire impiegata per tracciare gli utenti di Internet in piccoli periodi di tempo, anche in caso si utilizzi un software apposito per nascondere l’identità come Tor.
Ciò accade per una particolare ragione: queste API incriminate possono ottenere diversi pacchetti di informazioni a riguardo delle condizioni della vostra batteria, come livello, tempo di carica e di scarica. Se magari da soli questi dati hanno un’importanza assai ridotta, combinati si ottengono scansioni praticamente uniche per ogni device, permettendo quindi a potenziali malintenzionati di creare l’impronta digitale virtuale del vostro dispositivo e di tracciare le vostre attività nel web. Come se già non lo facessero in troppi.
Avete presente il messaggio che appare in praticamente ogni sito ormai, che avvisa i propri utenti dell’utilizzo di cookies? Ecco, il funzionamento delle Battery Status API è simile ai famosi “biscotti del web”: queste interfacce possono essere utilizzate per reistanziare gli identificatori di tracciamento.
Inoltre, le informazioni a riguardo della batteria possono essere usate anche in casi dove un power user può non solo cancellare i propri cookies, ma anche dove può riuscire a cancellare pure gli evercookies.
In un ambiente di lavoro, dove i dispositivi condividono caratteristiche e IP simili, le informazioni derivanti dalle Battery Status API possono essere usate per distinguere i terminali dietro ad un NAT, quando i meccanismi di tracciamento tradizionale non funzionano.
Piccola curiosità a riguardo del Sistema Operativo della vostra macchina: mentre utilizzando Firefox su Android, Windows, Mac OS X le cifre significative sono solo due, in ambiente Linux la precisione è addirittura doppia. Incredibile, se si pensa che il re dell’open source è impiegato soprattutto per la sua sicurezza e il privacy-care.
Il documento autorevole in cui per la prima volta si è parlato di privacy-lacking nelle batterie al pubblico è firmato da quattro ricercatori europei sulla sicurezza:
Lukasz Olejnik (INRIA Privatics)- Gunes Acar (KU Leuven University, ESAT/COSIC e iMinds)
- Claude Castelluccia (INRIA Privatics)
- Claudia Diaz (Ku Leuven University, ESAT/COSIC e iMinds)
Questa tipologia di tracciamento è davvero molto difficile da evitare, dal momento che praticamente tutti i dispositivi ne sono vulnerabili. Comunque, il rischio è notevolmente più alto per le batterie usate o in ogni caso vecchie.
Nonostante i potenziali problemi di privacy delle Battery Status API siano state discusse dagli sviluppatori di Mozilla e Tor Browser nel 2012, né le API, né l’implementazione Firefox hanno subito una revisione in tal punto.
Secondo i ricercatori, la soluzione è estremamente semplice: basta ridurre la precisione della lettura delle batteria direttamente a livello di API. Arrotondando i valori, nessuna delle funzionalità andrebbe perduta, ma sarebbe quasi impossibile tracciare un utente in maniera usufruibile.
Cosa ne pensate? Fatecelo sapere nei commenti.