Potremmo essere facilmente tracciati tramite il livello di carica della batteria del nostro cellulare

Diciamolo chiaramente: nonostante il fatto che noi tutti archiviamo nel nostro telefonino cellulare una grande quantità di dati personali sensibili, i dispositivi mobili sono tra le tecnologie di comunicazione meno sicure. E' ampiamente documentato come alcune agenzie di intelligence o gli hacker siano in grado di monitorare i dati e i servizi GPS del telefono cellulare, adesso però emerge un nuovo rapporto della Princeton University che è destinato ad allarmare, e non poco, i garanti della privacy. Secondo questa recente ricerca, i sistemi che indicano lo stato della batteria dei cellulari potrebbero essere utilizzati per spiare gli stessi.

La privacy dei dati è diventata ormai un tema centrale della nostra società

Questo nuovo exploit della privacy deriva dal rilascio, avvenuto nel 2015, di un'interfaccia di programmazione delle applicazioni HTML5 (API) che ha dato agli sviluppatori web la possibilità di monitorare lo stato della batteria di visitatori di siti web e di utenti di applicazioni web-based. Lo scopo di questa nuova interfaccia era quello di permettere agli sviluppatori di creare una versione a "basso livello di carica" delle loro pagine web allo scopo di aiutare gli utenti con i telefonini con la batteria scarica. Tuttavia i ricercatori hanno scoperto che questo codice potrebbe essere utilizzato per raccogliere informazioni personali dagli utenti dei dispositivi mobili.
Le API lavorano raccogliendo i dati degli indicatori di durata della batteria del cellulare. Ogni dispositivo è in grado di misurare tre diversi parametri sulla durata residua della batteria: la percentuale di carica residua, i secondi rimanenti sulla batteria e i secondi necessari per una carica completa se collegato a un caricabatterie. La combinazione di questi tre parametri forma un insieme di circa 14 milioni di combinazioni uniche, che equivale a dire che lo stato della batteria di qualsiasi telefonino può essere usato come un identificatore quasi univoco.

Applicazioni come Pokémon Go possono contribuire ad identificare univocamente un cellulare tramite il livello di carica della propria batteria

Gli autori dello studio di Princeton hanno visitato vari siti web utilizzando un apposito browser che ha permesso loro di individuare e monitorare eventuali siti o applicazioni che stavano tracciando i loro dati. Hanno individuato due script specifici che utilizzavano l'indicatore di durata della batteria per monitorare i loro dati personali ed assegnare al loro dispositivo un'unica "impronta digitale".
Il primo script, https://go.lynxbroker.de/eat_heartbeat.js, rileva il livello di carica attuale del dispositivo e lo combina con diverse altre caratteristiche di identificazione. Queste funzionalità includono la canvas fingerprint e l'indirizzo IP dell'utente. Il secondo script, http://js.ad-score.com/score.min.js, interroga tutte le proprietà dell'interfaccia BatteryManager, recuperando lo stato di carica corrente, il livello di carica ed il tempo rimanente per scaricare o ricaricare il dispositivo. Come per lo script precedente, queste caratteristiche si combinano con altri elementi di identificazione utilizzati individuare univocamente un dispositivo.
Una volta che "l'impronta digitale" del dispositivo è stata presa, il suo traffico può essere monitorato attraverso diverse piattaforme. Secondo Lukasz Olejnik, consulente sulla sicurezza delle informazioni, l'indicatore della batteria potrebbe anche essere una fonte di profitto per i siti web in futuro: "Alcune aziende potrebbero contemplare la possibilità di monetizzare l'accesso al livello di carica della batteria. Infatti quando la batteria sta per esaurirsi le persone potrebbero essere portate a prendere decisioni diverse da quelle che prenderebbero in una situazione normale. In tali circostanze, gli utenti potrebbero essere d'accordo a pagare di più per un determinato servizio."

05/08/16

0 commenti: