Te hacemos fácil la tecnología

Los sitios web móviles pueden conectarse a los sensores de tu teléfono sin permiso

 

1490626770_125439_1490975075_noticia_fotograma

Toda aplicación que desea acceder a datos de los sensores de movimiento o de luz de tu smartphone, debe pedir permiso para utilizar esa capacidad. Esto evita, por ejemplo, que tus apps de fitness registren tu ubicación sin tu conocimiento. Pero ahora un equipo de investigadores ha descubierto que estas reglas no se aplican a los sitios web que se cargan en navegadores móviles, que pueden acceder a varios de los sensores de los dispositivos sin ningún tipo de notificación o permiso.

Cuando una aplicación quiere acceder a la información de los sensores de tu smartphone, el sistema operativo emite una alerta para informarte de ello, y hasta que no le concedas permiso no podrá obtener los datos que proporciona el sensor. Lo que han descubierto estos investigadores es que este protocolo no se sigue en el caso de los sitios webs móviles, que pueden acceder sin ningún control a la información de ciertos sensores.

El hecho de que los navegadores móviles ofrezcan a los desarrolladores acceso a los sensores no es una anomalía en sí; esto ayuda a esos servicios a ajustar automáticamente parámetros como la disposición de la pantalla cuando cambias la orientación del teléfono. Y, en teoría, el organismo de homologación World Wide Web Consortium ha codificado las maneras en que algunas aplicaciones web pueden acceder a los datos de algunos sensores. Sin embargo, lo que los investigadores de las universidades de Carolina del Norte, Princeton, Illinois y Northwestern en EEUU han desvelado es que dichos estándares permiten el acceso sin restricciones ni avisos a otros sensores.

Los autores del trabajo han descubierto que de los 100.000 sitios más importantes -según la clasificación de la web de análisis Alexa, propiedad de Amazon- 3.695 incorporan scripts que se aprovechan del acceso a uno o más de estos sensores móviles. De acuerdo con los especialistas, los sensores de movimiento, iluminación y proximidad o luz no disponen de ningún mecanismo para notificar al usuario que se están utilizando, entre otras razones porque no hay un sistema de permisos específicos implementado.

La lista contiene algunos populares sitios web, como Kayak, Priceline.com y Wayfair.

El acceso no aprobado a los datos de estos sensores no debe, en principio, comprometer la identidad o el dispositivo del usuario. Además una página web sólo puede ver estos sensores mientras el usuario esté navegando activamente por ella, nunca en segundo plano. Por eso el World Wide Web Consortium clasifica los datos de estos sensores como “no suficientemente sensibles como para justificar la concesión de permisos específicos”. No obstante los investigadores hacen notar que en un sitio web malicioso, esta información podría alimentar varios tipos de ataques, como el uso de datos de luz ambiental para tener información de los hábitos de navegación de un usuario, o el uso de datos del sensor de movimiento como una especie de registrador de teclas para deducir cuestiones como los números PIN o las contraseñas.

En este caso se analizaron nueve navegadores (Chrome, Edge, Safari, Firefox, Brave, Focus, Dolphin, Opera Mini y UC Browser) que manejan el acceso los citados sensores. Todos ellos permiten que las páginas web accedan a los sensores de movimiento y orientación sin permiso. Además, en el caso de Firefox también se permitía el acceso a los sensores de proximidad y de luz en versiones recientes; aunque el navegador eliminó este acceso predeterminado a partir de la versión 60 en mayo de este año.

Con informaciòn de pandasecurity 

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s