O que é que a bateria do telemóvel diz de si? A questão teve uma primeira resposta em 2015, com uma investigação levada a cabo por peritos do INRIA, de França, e da Universidade de Lovaina, da Bélgica, que descobriram que a energia restante na bateria pode ser usada para um qualquer site espiar os internautas que o visitam. O estudo teve o condão de gerar espanto, mas sempre foi encarado como mera hipótese académica. Até que, ontem, surgiu um segundo estudo sobre esta possível vulnerabilidade: dois investigadores da Universidade de Princeton descobriram duas situações em que esta vulnerabilidade já estava a ser usada para monitorizar internautas através do telemóvel.
Ironicamente, a vulnerabilidade tem origem numa funcionalidade bem-intencionada: o standard HTML5, que pretende uniformizar as tecnologias e recursos usados pelas diferentes páginas Web, disponibiliza uma ferramenta que permite apurar quanta energia está disponível num telemóvel que visita um determinado site. Com esta ferramenta, o site pode encaminhar automaticamente o internauta para uma versão mais leve e rápida, caso detete que há pouca energia na bateria do telemóvel usado na navegação.
Até à data, o standard HTML 5 foi adotado pelos browsers Chrome, Firefox e Opera. E tudo estaria bem… se essa funcionalidade não pudesse ser usada igualmente para definir identificar o utilizador de um telemóvel. Segundo a equipa de investigadores do INRIA e da Universidade de Lovaina, é possível criar um total de 14 milhões de combinações com os dados relativos às percentagens de bateria disponível e o tempo que demora a descarregar essa bateria. Através das combinações, o gestor de um site pode desenvolver ferramentas que facilitam a identificação dos internautas, e permitem saber o que fazem enquanto navegam na Web.
Ontem soube-se que a Universidade de Princeton retomou o assunto – e não só confirmou a possibilidade técnica de exploração desta funcionalidade do standard HTML5 como ainda detetou dois scripts usados para espiar os internautas através da combinação dos dados relativos ao tempo de uso e à percentagem de energia disponível nas baterias de telemóveis. Steve Engelhard e Arvind Narayanan, os investigadores que detetaram o uso destes scripts espiões, recordam que esta vulnerabilidade permite seguir internautas em diferentes contextos, enquanto navegam na Internet.
De acordo com o The Guardian, os dois investigadores de Princeton usaram um browser alterado para descobrir os dois scripts. Não foram fornecidos detalhes sobre os sites que usam os scripts e as circunstâncias em que esses scripts foram usados.
A descoberta dos dois investigadores de Princeton acaba por confirmar as previsões de Lukasz Olejnik, um dos autores do estudo que analisou, em 2015, esta potencial ameaça pela primeira vez. Para o investigador do INRIA não restam muitas dúvidas de que o estado da bateria pode vir a ter uma utilidade comercial, caso caia nas mãos de sites menos escrupulosos: «Quando há pouca energia na bateria, as pessoas podem ser levadas a tomar decisões – que até podem ser diferentes do previsto. Em algumas circunstâncias, os utilizadores podem aceitar a pagar mais por um serviço», concluiu o perito de segurança eletrónica, citado pelo The Guardian.
Há um ano, o World Wide Web Consortium, que gere a definição do standard HTML 5, recebeu com elogios o estudo promovido pelos investigadores do INRIA e da Universidade de Lovaina. Mas nada mudou desde essa altura. Resta saber que efeito produz o estudo agora divulgado pelos investigadores de Princeton.
