Cuando instalamos una aplicación, se nos muestran los permisos a los que quiere tener acceso para poder decidir si queremos o no instalarla. En el caso de que requieran acceso a sensores del móvil, se especifica claramente, como ocurre en las aplicaciones de monitorización de actividad deportiva para contar los pasos. Sin embargo, estas reglas no se aplican a las versiones móviles de las páginas web según un equipo de investigadores de varias universidades estadounidenses.
Estas páginas web pueden acceder a sensores sin notificarnos y sin permisos por “culpa” de los navegadores. Estos navegadores tienen permiso para acceder a los sensores para funciones como rotar una web cuando ponemos el móvil en horizontal. Sin embargo, no se controla cómo pueden acceder las webs a esos sensores, y pueden acceder como quieran. Y han descubierto que hay miles de páginas haciéndolo.
Cuando entras a versiones web de servicios como Google Maps o Facebook, se nos avisa de que quieren acceder a nuestra ubicación, y podemos denegarlo o no el permiso. Sin embargo, con los sensores de movimiento, luminosidad y proximidad eso no ocurre al no haber una infraestructura de permisos en los navegadores.
Por suerte, una página web sólo puede acceder a estos sensores si estamos navegando por ella, y no si está en segundo plano. Sin embargo, a través de los cambios en el sensor de luminosidad y el de movimiento, es posible deducir el PIN que el usuario puede estar introduciendo en la pantalla. Además, pueden saber qué partes de la pantalla están viendo mediante algoritmos.
Desgraciadamente, el World Wide Web Consortium clasifica los datos obtenidos de los sensores como “no lo suficientemente sensibles como para requerir permisos”, a pesar de que los investigadores hayan encontrado motivos para preocuparse por la privacidad de los usuarios.
Miles de páginas web espían los sensores de los móviles de los usuarios
Todos los navegadores permiten acceso a páginas web a los sensores de orientación, movimiento, proximidad y luminosidad, incluyendo Chrome, Edge, Safari, Firefox, Dolphin y Opera. El único que ha hecho cambios al respecto ha sido Firefox, que desde Firefox 60 (lanzada en mayo de 2018), desactiva el acceso por defecto al sensor de proximidad y de luz.
Para las pruebas, analizaron los 100.000 sitios web más populares de Alexa, y de ellos, 3.695 buscan acceso a los sensores. La mayoría de los scripts que encontraron eran benignos, buscando conocer la orientación de la pantalla para reajustarse o reaccionar a determinados gestos. Sin embargo, unas 1.200 webs usaban los datos de los sensores para complementar el tracking y la analítica en la web, o para intentar identificar a usuarios. De esos 1.200 sitios web, el 63% usan técnicas de fingerprinting.
Los bloqueadores de anuncios tampoco sirvieron para bloquear los scripts utilizados para obtener información de los sensores, cazándolos sólo el 10% de las veces, y la mayoría apenas en el 2 o 3% de los casos. Por ello, los investigadores piden que se tome más en serio el tema y se discuta sobre el acceso que los navegadores web dan a las páginas.
Fuente: ADSLZone
