La nostra sessione di navigazione privata è veramente privata? Un nuovo documento mostra come il nostro smartphone o la batteria del portatile possono essere utilizzati per compromettere la nostra privacy.
I ricercatori sostengono che una caratteristica HTML5 chiamata Battery Status API in brevi intervalli permette ai siti web di controllare lo stato della batteria del dispositivo con tale precisione che potrebbe essere utilizzato per monitorare gli utenti, anche quelli che navigano utilizzando Tor, il software per nascondere l’identità. Ciò accade perché l’API di stato della batteria può fornire diversi dati informativi come il livello, tempo di ricarica e il tempo di scarico. Insieme, questi dati sono quasi unici per ogni dispositivo, ciò consente ai potenziali aggressori di creare un’impronta digitale del dispositivo e monitorare le attività sul web.
In pratica nei brevi intervalli, Battery Status API può essere usato per istanziare nuovamente gli identificatori di tracciamento degli utenti, simile a evercookie (è un’API JavaScript produce cookie molto persistenti in un browser. Il suo obiettivo è quello di identificare un cliente anche dopo che ha rimosso i cookie standard, cookie Flash (Local Shared Objects o LSO) e altri. Inoltre, le informazioni sulla batteria possono essere utilizzate nei casi in cui un utente può cancellare i suoi evercookies. Le informazioni sulla batteria in un ambiente aziendale, in cui i dispositivi condividono caratteristiche simili e gli indirizzi IP, possono essere utilizzate per distinguere i dispositivi NAT, quando i tradizionali meccanismi di monitoraggio non funzionano.
Il documento riportato sul The Guardian, firmato da ricercatori di sicurezza francesi e belgi Lukasz Olejnik, Gunes Acar, Claude Castelluccia, e Claudia Diaz, sostiene che, dal giugno 2015, Firefox, Opera e Chrome supportano la funzionalità di HTML5. E’ evidente che sarebbe molto difficile sfuggire a questo tipo di monitoraggio poiché in pratica tutti i dispositivi sono vulnerabili. Il rischio è, tuttavia, più elevato per le batterie vecchie o usate con capacità ridotta.
Battery Status API è stato introdotto nel 2012 dal World Wide Web Consortium (W3C, l’organizzazione che sovrintende lo sviluppo di standard del web) con l’obiettivo di aiutare i siti web a conservare la cosiddetta “energia utente“: idealmente, un sito web o web-app è in grado di notare quando il visitatore ha poco carica della batteria, in questo modo attiva una modalità a basso consumo disabilitando alcune funzionalità.
Le specifiche del W3C libera esplicitamente i siti da dover chiedere il permesso all’utente per conoscere la vita residua della batteria, sostenendo che “le informazioni divulgate ha un impatto minimo sulla privacy o impronte digitali”. Il nuovo documento sottoscritto dai quattro ricercatori di sicurezza francesi e belgi mette in discussione tale affermazione, rileva che le informazioni che un sito web riceve sono sorprendentemente precise, contiene il tempo stimato in secondi necessari alla batteria per scaricarsi completamente, e la capacità residua della batteria espressa in percentuale. I due numeri, presi insiemi, possono essere compresi in uno qualsiasi dei circa 14 milioni di combinazioni, il che significa che operano come un potenziale numero ID; non solo, quei valori si aggiornano ogni 30 secondi, tempo che Battery Status API può utilizzare per identificare gli utenti quando le loro visite avvengono in un breve intervallo. Il sito web può collegare nuove e vecchie identità degli utenti, sfruttando il livello della batteria e tempi di carica / scarica.
