HTML5, gli utenti si tracciano con la batteria

Uno studio di ricercatori francesi e belgi evidenzia i rischi di violazione della privacy connessi all’implementazione della API Battery Status, interfaccia facente parte dello standard HTML5 e utilizzabile da un sito Web per identificare il consumo e l’attuale livello della batteria di un gadget o un PC portatile connesso a Internet.

Battery Status era stato originariamente pensato dal World Wide Web Consortium (W3C) come un metodo per leggere lo stato della batteria di un dispositivo, così da fornire una versione meno pesante di un sito Web per limitare i consumi energetici laddove necessario.

Ma la API di HTML5 può essere sfruttata anche per “scoprire la capacità delle batterie degli utenti” in un modo che permette di tracciare i singoli visitatori, dicono i ricercatori, un metodo che sfrutta la precisione delle letture fornite da Firefox su Linux (per la capacità della batteria e i livelli di consumo attuali) per costruire una “impronta” per ogni singolo utente in brevi intervalli di tempo.

Il rischio per la privacy è maggiore sui sistemi dotati di batterie vecchie o comunque usate con capacità ridotta, dicono i ricercatori, visto che la capacità della batteria può servire come elemento identificativo di un utente. In totale, sono stati identificati 14 milioni di possibili combinazioni delle proprietà esposte dalla API HTML5 tra 40.000 possibili tempi di ricarica e 90 possibili status della batteria.

Le capacità traccianti di Battery Status sono in realtà note già dal 2012 , quando la API venne introdotta dal W3C, così come i rischi per la privacy erano stati discussi sia con gli sviluppatori di Firefox che di Tor (il cui browser è basato appunto su Firefox). Mozilla ha finalmente rilasciato un fix per la “vulnerabilità” durante lo scorso giugno, mentre per Chrome e Opera (gli altri due browser che implementano la API) il rischio tracciamento ancora sussiste.

Alfonso Maruccia