Un fallo de seguridad en HTML5 vuelve a poner en peligro la seguridad y la privacidad de los usuarios de smartphones. Y es que un grupo de investigadores ha descubierto que debido a este error en el citado lenguaje de programación cualquier usuario puede ser rastreado en intervalos de tiempo cortos teniendo en cuenta la capacidad de la batería de su móvil, ‘que sirve potencialmente como un identificador de seguimiento’ a los hackers. Los resultados de este descubrimiento están publicados en el informe ‘The leaking battery. A privacy analysis of the HTML5 Battery Status API’, elaborado para alertar de los riesgos de privacidad asociados con el estado de la batería.
De esta forma, la duración de la batería y su estado ya no solo deben preocupar a los usuarios porque vayan a quedarse sin energía, sino también porque, aunque se navegue en modo privado, ayuda a los ciberdelincuentes a identificarlos. Por eso, los cuatro autores del informe explican que navegadores como Firefox o Chrome utilizan la API del estado de la batería para ayudar a los usuarios a ahorrar energía en su móvil cuando consultan páginas web, lo que no requiere su permiso para leer la información de la batería. Se supone que esta medida asegura que la información que se revela a la API tiene un impacto mínimo en la privacidad de la persona, pero esta investigación ha demostrado que no se respeta, ya que un site puede incluso conocer los segundos que quedan para que la batería de un móvil se descargue.
Lo que indican los creadores de este estudio es que todos los datos a los que puede acceder la API se convierten en un número, tipo DNI, con el que puede identificarse a los usuarios en cada página web. Y no vale con navegar de forma privada o borrar las cookies, ya que ‘el sitio web puede reinstalar las ‘cookies’ de los usuarios, así como otros identificadores’, aseguran en el informe. Para solucionar este fallo en la seguridad del lenguaje de HTML5, estos autores proponen ‘redondear el valor del nivel de la batería otorgado por la API, por lo que ésta no perdería su funcionalidad y la amenaza se reduciría al mínimo, y pedir permiso al usuario para acceder a la API de estado de la batería’.