Sem bateria, um telemóvel vale tanto quanto um livro sem letras; com a bateria, o telemóvel pode ser uma ameaça à privacidade do proprietário, garante um estudo de investigadores franceses e belgas das empresas INRIA Privatics, da ESAT/COSIC, da iMinds e da Universidade de Leuven. O artigo científico recentemente publicado apurou que há uma interface aplicacional (API) usada pela norma HTML5 que pode ser usada para identificar o utilizador de um telemóvel ou de um tablet. Tudo porque a percentagem de energia restante na bateria revela mais do que deveria.
Em 2012, o consórcio W3C, na sua missão de ditar as linhas mestras da Internet, promoveu o lançamento de uma API que permite aos sistemas que gerem sites apurar na hora qual a percentagem de energia que existe na bateria de um dispositivo móvel. A API foi prontamente introduzida na norma HTML5 que hoje serve de principal referência à construção de sites e conteúdos disponibilizados na Internet.
A intenção era boa: com a API, os sites podem bloquear conteúdos ou funcionalidades que consomem mais energia, caso detetem que a bateria de um determinado dispositivo que visita o site está em vias de esgotar-se. E isso talvez explique a razão por que Chrome, Firefox e Opera adotaram a agora famosa API.
Mas as boas intenções poderão não ser suficientes para evitar os maus resultados: o estudo publicado pelos especialistas franceses e belgas concluiu que a “API da bateria” apura não só a percentagem de energia restante como ainda o tempo que falta para se acabar toda a energia disponível no dispositivo móvel. O que permite que uma qualquer mente mais imaginosa crie um total de 14 milhões de combinações. Resultado: o sistema que gere o site (e consequentemente os responsáveis por esse site) podem, com grande margem de certeza, apurar que determinada combinação de percentagem/tempo na bateria corresponde a um determinado utilizador.
O The Guardian dá um exemplo extraído a partir do estudo franco-belga: se um utilizador aceder a um site a partir de uma VPN e no modo privado do Chrome, o sistema que gere o site não terá forma de o identificar… mas se regressar ao endereço, independentemente de usar VPN ou modo privado, o sistema que gere o site poderá encontrar forma de associar essa sessão à do utilizador que, recentemente, apresentou um par percentagem/tempo de bateria idêntico (ou que tenha refletido o tempo que entretanto passou).
Não há ainda conhecimento de qualquer caso de monitorização de identidades através da API da bateria… e, avaliar pela posição oficial do W3C, esta fuga de informação terá «pouco impacto na privacidade e identificação». Os tempos mais próximos encarregar-se-ão de mostrar se há ou não razão para alarme..
