HTML5, gli utenti si tracciano con la batteria

Una delle API di HTML5 può essere sfruttata per identificare gli utenti con una certa precisione sul Web. Il problema è noto da anni e riguarda buona parte del mercato dei browser. Almeno per Firefox è già disponibile un fix

Roma – Uno studio di ricercatori francesi e belgi evidenzia i rischi di violazione della privacy connessi all’implementazione della API Battery Status, interfaccia facente parte dello standard HTML5 e utilizzabile da un sito Web per identificare il consumo e l’attuale livello della batteria di un gadget o un PC portatile connesso a Internet.

Battery Status era stato originariamente pensato dal World Wide Web Consortium (W3C) come un metodo per leggere lo stato della batteria di un dispositivo, così da fornire una versione meno pesante di un sito Web per limitare i consumi energetici laddove necessario.

Ma la API di HTML5 può essere sfruttata anche per “scoprire la capacità delle batterie degli utenti” in un modo che permette di tracciare i singoli visitatori, dicono i ricercatori, un metodo che sfrutta la precisione delle letture fornite da Firefox su Linux (per la capacità della batteria e i livelli di consumo attuali) per costruire una “impronta” per ogni singolo utente in brevi intervalli di tempo.

Il rischio per la privacy è maggiore sui sistemi dotati di batterie vecchie o comunque usate con capacità ridotta, dicono i ricercatori, visto che la capacità della batteria può servire come elemento identificativo di un utente. In totale, sono stati identificati 14 milioni di possibili combinazioni delle proprietà esposte dalla API HTML5 tra 40.000 possibili tempi di ricarica e 90 possibili status della batteria.

Le capacità traccianti di Battery Status sono in realtà note già dal 2012 , quando la API venne introdotta dal W3C, così come i rischi per la privacy erano stati discussi sia con gli sviluppatori di Firefox che di Tor (il cui browser è basato appunto su Firefox). Mozilla ha finalmente rilasciato un fix per la “vulnerabilità” durante lo scorso giugno, mentre per Chrome e Opera (gli altri due browser che implementano la API) il rischio tracciamento ancora sussiste.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • VideoKebabT eca 2000 scrive:
    hanno fatto bene
    Hanno fatto bene. Ora però scusatemi, ma devo tenere sotto controllo la carne, che sennò si brucia e servire un paio di clienti...
  • Nonriescoaf areillogin scrive:
    Azzardiamo un'ipotesi
    Secondo me visto il sucXXXXX le major hanno pensato di offrire di più, purché ci sia il loro DRM, questi hanno accettato... e si sono dati la zappa sui piedi da soli.
  • Scumm78 scrive:
    e tutti i soldi gia' spesi...
    ... dove li vanno a prendere per restituirli agli utenti?Comunque e' vero non si e' mai capito perche' abbiano voluto implementare il DRM quando nessuno era interessato o quando si sarebbe potuto fare a posteriori.
    • ... scrive:
      Re: e tutti i soldi gia' spesi...
      - Scritto da: Scumm78
      ... dove li vanno a prendere per restituirli agli
      utenti?quei 4 spicci li defalcano dalla catasta di denaro ricevuta dalle major, ingenuotto!perche accontentarsi dei 470mila quando potrebbero aver stratppato 20-30 volte di piu? ai contributori gli si restituisce quanto versato (quindi non possono accusarli di truffa) e con il resto si fa la bella vita: auto di grossa cilindrata, viaggi, grandi alberghi ma sopratuttoXXXXX, moltaXXXXX.
      Comunque e' vero non si e' mai capito perche'
      abbiano voluto implementare il DRM quando nessuno
      era interessato o quando si sarebbe potuto fare a
      posteriori.e' gia', non si e'mai capito....
  • pentolino scrive:
    Che triste vicenda...
    ... anche se almeno non mi pare si possa parlare di truffa, visto che restituiscono i soldi.In pratica il progetto naufraga per la difficoltà di implementare una funzione che nessuno (o quasi) degli utenti voleva. Suicidio dell'azienda o pressioni dalle major per il pericoloso precedente che un dispositivo del genere avrebbe potuto creare? In un mondo dove tutti i dispositivi a larga diffusione sono "addomesticati" un prodotto come questo, che nasce libero, è visto come una minaccia, non c'è nulla da dire.E quindi ci teniamo i Play Store, Apple Store e compagnia bella con i loro DRM, la spazzatura del ventunesimo secolo digitale.
    • Izio01 scrive:
      Re: Che triste vicenda...
      - Scritto da: pentolino
      ... anche se almeno non mi pare si possa parlare
      di truffa, visto che restituiscono i
      soldi.

      In pratica il progetto naufraga per la difficoltà
      di implementare una funzione che nessuno (o
      quasi) degli utenti voleva. Suicidio dell'azienda
      o pressioni dalle major per il pericoloso
      precedente che un dispositivo del genere avrebbe
      potuto creare?
      Direi la seconda, ma mi chiedo anche in che modo le major avrebbero potuto esercitare queste pressioni. Il loro stile generalmente è la minaccia di ritorsioni legali, ma puoi fare causa a chi fabbrica un dispositivo che tutto sommato fornisce un limitato sottoinsieme delle funzionalità offerte da un PC? Forse ci stiamo mettendo troppa dietrologia, ma ovviamente non ho certezze.
      In un mondo dove tutti i dispositivi a larga
      diffusione sono "addomesticati" un prodotto come
      questo, che nasce libero, è visto come una
      minaccia, non c'è nulla da dire.
      E quindi ci teniamo i Play Store, Apple Store e
      compagnia bella con i loro DRM, la spazzatura del
      ventunesimo secolo digitale.
      • pentolino scrive:
        Re: Che triste vicenda...
        - Scritto da: Izio01
        Direi la seconda, ma mi chiedo anche in che modo
        le major avrebbero potuto esercitare queste
        pressioni.vero, forse ho un po' esagerato con la dietrologia, però la possibilità opposta mi sembra decisamente idiota, ovvero fallire perché non riesci ad implementare qualcosa che nessuno dei backers vuole... tra l'altro dopo che ci avevi già speso dei soldi per iniziare l'implementazione... mah
    • rockroll scrive:
      Re: Che triste vicenda...
      - Scritto da: pentolino
      ... anche se almeno non mi pare si possa parlare
      di truffa, visto che restituiscono i
      soldi.

      In pratica il progetto naufraga per la difficoltà
      di implementare una funzione che nessuno (o
      quasi) degli utenti voleva. Suicidio dell'azienda
      o pressioni dalle major per il pericoloso
      precedente che un dispositivo del genere avrebbe
      potuto creare?

      In un mondo dove tutti i dispositivi a larga
      diffusione sono "addomesticati" un prodotto come
      questo, che nasce libero, è visto come una
      minaccia, non c'è nulla da
      dire.
      E quindi ci teniamo i Play Store, Apple Store e
      compagnia bella con i loro DRM, la spazzatura del
      ventunesimo secolo
      digitale.Ingenui fanciulli, le maf ehmmm... le majors avranno offerto assai di più del valore di rimborso ai sotttoscrittori, pur di togliersi dai piedi l'incubo di un sistema totalmente libero open SW e HW.
  • prova123 scrive:
    Semplice!
    Chiedere il rimborso della quota versata e annotare il nome di chi ha pensato di fare il furbo in modo che la prossima volta possa essere boicottato da subito.
Chiudi i commenti