Uma característica pouco conhecida do HTML5 permite que sites descubram qual o status da bateria de um smartphone ou notebook. Agora, pesquisadores de segurança alertam que essa informação pode ser usada para rastrear navegadores on-line, segundo informações do jornal The Guardian.
A API do estado da bateria é atualmente suportada pelos navegadores Firefox, Opera e Chrome, e foi introduzida pelo World Wide Web Consortium (W3C, organização que supervisiona o desenvolvimento de padrões da web) em 2012, com o objetivo de ajudar sites a salvar bateria de usuários. Idealmente, um site ou app pode notar quando o visitante tem pouca energia de bateria e mudar para um modo de baixa energia, desativando recursos externos.
O W3C cita que não há necessidade de sites pedirem permissão do usuário para descobrir o nível restante de bateria, argumentando que “a informação divulgada tem um impacto mínimo sobre a privacidade ou impressões digitais, e, portanto, é exposto sem permissão”. Mas em um novo estudo de quatro pesquisadores de segurança franceses e belgas questionam a afirmação.
Os pesquisadores apontam que as informações recebidas por um site são surpreendentemente específicas, contendo o tempo estimado em segundos que a bateria vai descarregar totalmente, bem como a capacidade restante da bateria em percentagem.
Esses dois números, tomados em conjunto, podem gerar cerca de 14 milhões de combinações, o que significa que eles funcionam como um número de identificação potencial. Além do mais, esses valores somente são atualizados em torno de 30 segundos. Assim, durante meio minuto, a API do estado da bateria pode ser usada para identificar os usuários em sites.
Por exemplo, se um usuário visita um site em modo de navegação privada do Chrome usando uma VPN, o site não deve ser capaz de ligá-lo a uma visita posterior com a navegação privada e o VPN. Mas os pesquisadores alertam que isso pode não funcionar mais.
De acordo com os pesquisadores, os usuários que tentam revisitar um site com uma nova identidade podem usar navegadores no modo privado ou apagar cookies e outros identificadores. Quando visitas consecutivas são feitas dentro de um curto espaço de tempo, o site pode vincular novas e velhas identidades dos usuários, explorando o nível da bateria e os tempos de carga/descarga. O site pode então instanciar cookies de usuários e outros identificadores do lado do cliente, um método conhecido como respawning.
