O mundo tomou consciência dos problemas da segurança da informação, e da falta dela, após o caso Edward Snowden. As pessoas passaram a estar mais atentas às medidas de segurança, assim como as empresas que desenvolvem produtos e serviços para dispositivos Android.

O nosso smartphone, por exemplo, está hoje mais seguro, com a informação cifrada. Contudo, há um componente no nosso telefone que, sem darmos conta, diz ao mundo onde estamos… sabe qual é?

Se lhe disser que a bateria do seu smartphone permite, de forma silenciosa, dizer ao mundo o que anda vendo na Internet, a que horas e onde, provavelmente vai ficar de boca aberta, mas é verdade.

Para já, quem tem tirado proveito desta “invulgar” informação são as empresas de publicidade online. Ainda não está convencido?

Mas como é possível a bateria “dizer” por onde navegamos?

O consórcio World Wide Web (W3C) implementou uma nova especificação que permite aos sites verificarem as estatísticas ligadas às baterias dos dispositivos android, a API do status da bateria. Esta informação sai mesmo sem a nossa autorização.

Um grupo de investigadores franceses e belgas publicaram, esta semana, um documento que detalha como a bateria num dispositivo com um navegador compatível com W3C – neste caso Firefox a correr em Linux – pode ser explorado para identificar o utilizador.pplware_bateria_espia02

A revelação, de que o estado da bateria de um dispositivo pode ser mal utilizado, não é nova! Em fevereiro deste ano, Yan Michalevski e um grupo de investigadores da Universidade de Stanford fez a mesma descoberta. Michalevski informou que “medir o consumo de energia total do telefone ao longo do tempo revela completamente a localização do telefone e do movimento.”

Mas a quem interessa saber este tipo de informação?

Saber por onde navegamos, a que horas e que conteúdos pesquisamos? Interessa a muita gente, mas uma indústria como a publicidade online paga milhões aos motores de pesquisa e a redes sociais para “instalarem” cookies identificando o padrão do cibernauta, agora vamos imaginar esta informação disponível com toda esta precisão? Não é fantástico?

Há sistemas mais vulneráveis que outros?

Não. Não faz qualquer diferença se o smartphone tem o sistema operativo iOS, Android, Windows Phone, BlackBerry ou mesmo Firefox OS. Também não tem qualquer importância se o utilizador desligou os serviços de localização. Se tem dentro do telefone uma bateria e usa um navegador compatível com os padrões W3C… então está em risco.

Estes relatórios dão conta de uma parte mais preocupante. A informação com base no rastreio das estatísticas da bateria de fato estão a passar informação que só a si lhe diz respeito e não tem como evitar esta invasão de privacidade. Mesmo que use o modo Navegação Privada, o site ao identificar antes e depois a sua bateria permite ao anunciantes simplesmente substituir o cookie que desaparece quando o utilizador encerrar a sua sessão privada.

E não há contra-medidas a este problema?

Segundo a equipa que lidera esta investigação, há dois passos que podem ser feitos para corrigir, de forma até simples, este problema. Um dos passos passa por limitar a precisão com que a bateria entrega a informação do comportamento do smartphone e do seu usuário. A API teria de ser reescrita e acautelar que não passa determinado grupo de dados.

Por outro lado, os navegadores nos sistemas dos smartphones, deveriam solicitar ao utilizador permissão quando um site quer tirar proveito desta API. Desta forma o usuário estava ao corrente do que poderá passar “ao site” sobre o seu comportamento online.

As duas medidas em conjunto, o que se espera que seja aplicado em breve, irão permitir um nível de privacidade e segurança que se exige atualmente nos dispositivos android.

A Electronic Frontier Foundation (EFF), uma organização sem fins lucrativos que defende a liberdade civil no mundo digital, está já a trabalhar numa campanha, com o nome Do Not Track, que tenta regular este tipo de “novidades”.