Android: la privacy è a rischio

Scoperta una tecnica che i siti potrebbero usare per individuare univocamente uno smartphone.

I problemi di sicurezza per Android non accennano a diminuire. A pochissimi giorni dalla scoperta del gravissimo Stagefright, arriva la notizia di una nuova vulnerabilità per il sistema operativo di Google per dispositivi mobili.
Il problema in questione riguarderebbe una falla legata all’indicatore di stato della batteria. A darne notizia sono stati 4 ricercatori belgi e francesi – qui trovate il loro paper. Sembra quasi assurdo, potrebbe persino essere preso come una beffa, ma c’è poco da scherzare.

L’API HTML5 dell’indicatore di stato della batteria sarebbe in grado di fornire informazioni ai website che visitiamo attraverso il browser. Il problema è che al momento questa interfaccia – presentata al World Wide Web Consortium del 2012 – è utilizzata da alcuni dei browser più diffusi come Firefox, Opera e Chrome, per cui potrebbe mettere a rischio i dati di milioni di utenti che usano uno smartphone Android. L’API sotto accusa fu creata con l’intento di dare ai siti uno strumento che permettesse di loro di essere meno dispendiosi dal punto di vista energetico durante una sessione di visita, o meglio di far risparmiare energia ai dispositivi durante la visita alle loro pagine. In altre parole, se si accorge che e risorse energetiche a disposizione del device sono scarse, il sito è in grado di decidere di settarsi autonomamente in modalità “risparmio energetico” e di caricare magari meno elementi sulla pagina web richiesta dal device.

Battery Status
icona di stato della batteria

Questa feature, se da una parte presenta un notevole vantaggio per i device, dall’altra mette a rischio gli utenti perché al fine di funzionare ha bisogno di farsi inviare dal dispositivo un tot di dati, come ad esempio il quantitativo di minuti a disposizione prima dell’esaurimento di tutta l’energia conservata nella batteria e il suo equivalente in termini percentuali. Ora sembra che questi dati, se incrociati, siano sufficienti per identificare univocamente un device. Un dato peraltro che pare venga inviato (o carpito dal sito, se volete) ogni 30 secondi. Al momento dell’implementazione di questa caratteristica il consorzio W3C decise che non era necessario che il browser chiedesse all’utente l’autorizzazione per la trasmissione di questi dati al sito, in quanto ritenne che il contenuto della trasmissione avesse un impatto molto basso sulla sicurezza dell’utente.

Secondo i ricercatori che hanno scovato questa vulnerabilità, l’identificazione del device può avvenire ugualmente, anche nel caso in cui si prendano certe precauzioni; ad esempio, se si accede in modalità “privacy” o se si cancellano i cookie del browser o – ancora – se ci si scollega prima e poi ci si ricollega con una nuova identità, il sito può essere comunque in grado identificare il dispositivo attraverso questo sistema – a patto che le visite vengano fatte entro un breve intervallo di tempo, in quanto questo sistema permette di identificare le utenze – o meglio i dispositivi – proprio attraverso i dati relativi alla carica della batteria.

Non è ancora chiaro se esista un metodo per porre rimedio a questa specie di falla di sicurezza . Probabilmente non sarà sufficiente una patch o quanto meno bisognerà mettere mano pesantemente al modo in cui l’API dello status della batteria lavora.

Ti consigliamo anche

Link copiato negli appunti