VUOI PUBBLICARE UN ARTICOLO SU KOIMANO?Contattaci

Batteria spiona riesce a rivelare l’identità dell’utente


Rivelare l’identità pensate sia difficile sul web? Alcuni ricercatori francesi e belgi hanno individuato una falla sulla sicurezza tramite una backdoor, consente ai browser web di seguire un utente Internet, anche se cerca di mascherare la propria identità.

Il difetto risiede nella API stato della batteria, una serie di protocolli e programmi per la sua gestione tramite il linguaggio HTML5. L’API fornisce al browser web utilizzato, come ad esempio Google Chrome, Firefox, Explorer ecc le informazioni sullo smartphone o tablet riguardanti la durata residua della batteria del dispositivo utilizzato, che permette a sua volta di attivare la modalità di risparmio energetico quando la carica si sta esaurendo.

Allo stato attuale gli utenti non possono scegliere se e quale tipo di API utilizzare per il controllo dell stato della batteria ed il World Wide Web Consortium (W3C), l’ente che definisce gli standard da adottare su internet, nel momento in cui ha rilasciato l’HTML5, non ha ritenuto che questa eventualità rappresentasse un rischio per la sicurezza e nel 2012 hanno dichiarato:

“Le informazioni divulgate hanno un impatto minimo sulla privacy o sulle traccie lasciate, quindi non sono necessarie particolari autorizzazioni”.

I ricercatori che hanno scoperto la falla non sono d’accordo con questa affermazione ed anzi sostengono che i dati trasmessi possono in teoria essere sufficientemente accurati per identificare un utente.

Come fa la durata della batteria a trasferire i dati e rivelare l’identità?

L’API che controlla lo stato della batteria lavora fornendo al browser un valore che va da 0 a 1 chiamato “livello”, oltre ad un numero espresso in secondi che indica quanto tempo ci vuole per ricaricare o scaricare completamente la batteria.

I ricercatori, hanno effettuato dei test sul browser Firefox per il sistema operativo Linux. Dai risultati è emerso che si possono ottenere almeno 14,2 milioni di combinazioni diverse incrociando i dati, in questo modo diventa abbastanza facile individuare un utente su Internet, tutto qesto solo in base allo stato della loro batteria. Da notare che il controllo viene effettuato ogni 30 secondi, il che significa che per un breve periodo l’ID può effettivamente agire come un “identificatore statico“.

Anche se la maggior parte degli utenti che naviga su internet lascia molte più tracce durante la navigazione web, come ad esempio il loro indirizzo IP, i cookie, ci sono altre persone che scelgono volontariamente di utilizzare degli strumenti di mascheramento per una navigazione anonima ma in questo modo potrebbero ancora essere seguiti attraverso lo stato della batteria.

Sempre secondo i ricercatori, uno script creato appositamente potrebbe utilizzare questa API per tracciare l’utente su Internet verificare se ha eliminato i propri dati di navigazione per risultare anonimo, e successivamente ripristinare gli identificatori o cookies, all’insaputa dell’utente, attraverso un processo noto come respawn. Ciò permetterebbe di mantenere il tracciamento attivo all’insaputa degli utenti.

Sono vulnerabile, si può rivelare l’identità?

La possibilità di essere colpiti da questo bug sono relativamente basse. I Test della ricerca sono stati condotti con Firefox su una macchina Linux, che ha il permesso di leggere i dati sullo stato della batteria in modo particolarmente accurato, fino a 16 cifre decimali.

Va detto che altri sistemi operativi come Windows, OSX e Android fanno girare il browser con un livello di accuratezza molto inferiore, quindi tutte le combinazioni possibili su Linux non sono attuabili sugli altri sistemi operativi, diminuendo quindi la possibilità di poter tracciare un utente.

Lukasz Olejnik, uno dei ricercatori, ha comunque affermato:

“Devo ammettere, che almeno in teoria questo è ancora possibile anche considerando le prestazioni limitate delle API standard della batteria”.

I ricercatori hanno sottoposto la questione a Firefox, che ha rilasiato un bugfix a giugno 2015 ossia tre anni dopo che l’API incriminata è stata ufficialmente identificata come un potenziale problema.

Rivelare l’identità la soluzione

Tuttavia, i ricercatori hanno raccomandato di migliorare lo standard evitando cioè qualunque possibilità di essere monitorati anche involontariamente. Questo processo include anche la riduzione delle cifre decimali per la lettura della batteria. In effetti al browser non servono delle statistiche accurate per stimare la durata della batteria. Altrimenti un’altra strada sarebbe fare in modo che i browser chiedano agli utenti il permesso per accedere all’API della batteria.

Olejnik ha poi aggiunto che il W3C dovrebbe considerare la possibilità di apportare delle modifiche allo standard HTML5.

Articoli correlati

LASCIA UN COMMENTO A QUESTO ARTICOLO

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Scroll Up