Il "buco" di sicurezza scoperto da ricercatori francesi dell'INRIA, Institut National de Recherche en Informatique et en Automatique, in collaborazione con l', riguarda una caratteristica delle specifiche di HTML5 che permette ai siti Web di verificare quanta carica di batteria è disponibile nel tablet o nello smartphone di chi accede al sito. Il Battery Status API, attualmente supportato dai browser Firefox, Opera e Chrome ma non da Internet Explorer e Safari, era stato introdotto nel 2012 dal World Wide Web Consortium per aiutare gli utenti a conservare energia: in sintesi, si abilita un sito Web o una Web-app a verificare quanta potenza resta in un cellulare abilitando uno switch in low power mode disabilitanto funzionalità estranee alle attività in corso. I siti che operano in questo modo non devono tra l'altro chiedere all'utente il permesso di vedere quanta carica resta. Ma la stessa informazione può essere usata per identificare un cellulare mentre si muove in internet, con conseguente tracking del possessore. I ricercatori hanno sottolineato che l'informazione ricevuta da un sito Web è specifica e contiene il tempo stimato in secondi prima che la batteria si scarichi e la capacità restante espressa in percentuale. Questi due numeri, usati insieme, si configurano a tutti gli effetti, come un potenziale ID number, e si aggiornano ogni 30 secondi, il che significa che per circa mezzo minuto lo stato della batteria può essere utilizzato da hacker esperti per identificare utenti che navigano attraverso siti diversi, applicando algoritmi di combinazione dei valori stessi.
Un nuovo rischio per i cellulari: l’hacking delle batterie
