Crow Design | Web Design | Una buena idea que se vuelve en nuestra contra
Diseño Web Uruguay, empresa de diseño implementación y desarrollo web. E-Commerce CMS | Web Responsive | SEO | Desarrollo de Apps | Imbound Marketing | Community Management | Diseño Gráfico
web, agencia, agencia de comunicación, agencia gráfica, agencia web, consultor gráfico, consultor web, consultor de comunicación, desarrollo de sitios web, desarrollos de páginas web, desarrollo web, identidad corporativa, desarrollo de identidad corporativa, desarrollo de campañas gráficas, últimas tecnologías, programación web, programación php, design, diseño web, web design, web designer, diseñadores, desarrollo, developer, arte web, bootstrap, ecommerce, photoshop, dreamweaver, fireworks, html5, css3, jquery, gxportal, adobe, google apps
1067
post-template-default,single,single-post,postid-1067,single-format-standard,ajax_fade,page_not_loaded,,qode_grid_1300,footer_responsive_adv,qode-content-sidebar-responsive,qode-theme-ver-1.1,wpb-js-composer js-comp-ver-4.11.2.1,vc_responsive

Una buena idea que se vuelve en nuestra contra

Una buena idea que se vuelve en nuestra contra

Una API de HTML5 permite utilizar la batería de tu móvil para saber qué haces en Internet

La API de Estado de Batería o «Battery API» es uno de los componentes de HTML5, el nuevo estándar de la web W3C hace dos años. En principio, la API hace algo tan inocente como permitir que las páginas que visitamos sepan en estado de la batería de nuestros dispositivos para que puedan ofrecernos versiones más ligeras.

Pero diferentes estudios presentados por investigadores de seguridad apuntan a que las combinaciones de los datos que se pueden obtener con esta API son las suficientes como para poder utilizarlos como identificadores de dispositivos. Con ellos no se puede saber quienes somos, pero sí espiar nuestro comportamiento en la red sin pedirnos permiso.

Una buena idea que se vuelve en nuestra contra

1366_2000

La API de Estado de Batería sólo ofrece tres datos concretos, el porcentaje de carga actual del dispositivo, el tiempo total que falta para que la batería se descargue y el que haría falta para que se cargase por completo si el dispositivo estuviera conectado a un cargador. Con ellos se pretende que las webs puedan detener la ejecución de contenidos u ofrecer versiones menos exigentes dependiendo del estado de nuestra batería.

En la página de la propia W3C se asegura que la información revelada por la API tiene un impacto mínimo sobre la privacidad de los usuarios. Sin embargo, el año pasado apareció un primer estudio que apuntaba en la dirección contraria, argumentando que con los datos de estos tres parámetros se pueden obtener hasta 14 millones de combinaciones numéricas, suficientes para utilizase como un identificador único bastante fiable.

El otro gran problema reside en que los datos ofrecidos por la API no se actualizan demasiado rápido. Esto quiere decir que, al mantenerse estáticos, pueden servir para que el identificador les permita a empresas y webs utilizar scripts con los que registrar las páginas que visitan los usuarios de un dispositivo.

Imagináos un script concreto que ha sido alojado en las páginas X e Y, y que sea capaz de obtener el código numérico de la API de Estado de Batería. Aunque tras visitar X eliminásemos cookies u otros elementos de rastreo, incluso aunque utilizásemos VPNs, si cuando visitemos Y la API no se ha actualizado el script volverá a identificarnos, y sus responsables podrán saber que hemos ido de X a Y.

Las webs ya se están aprovechando de ello

En otro estudio publicado el mes pasado por investigadores de la Universidad de Princeton ha demostrado que esta técnica está siendo utilizada por diferentes empresas para identificar la huella dactilar efímera que crea esta API en diferentes contextos. Lukasz Olejnik, uno de los investigadores del estudio del año pasado, especula en su blog con la posibilidad de que haya empresas que estén analizando la posibilidad de monetizar el acceso a los niveles de batería de los usuarios.

El que estos datos hayan salido a la luz ya ha causado varias reacciones. En primer lugar Mozilla, cuyo navegador Firefox es uno de los más vulnerables al utilizarse en Linux, ha lanzado un fix para tratar de parchear el problema. La W3C también ha avisado del problema en  su web, aunque una vez descubierto qué se puede hacer con la API es posible que vayan saliendo nuevos métodos para aprovecharse de ella.

No Comments

Sorry, the comment form is closed at this time.