Toda aplicación que desea acceder a datos de los sensores de movimiento o de luz de tu smartphone, debe pedir permiso para utilizar esa capacidad. Esto evita, por ejemplo, que tus apps de fitness registren tu ubicación sin tu conocimiento. Pero ahora un equipo de investigadores ha descubierto que estas reglas no se aplican a los sitios web que se cargan en navegadores móviles, que pueden acceder a varios de los sensores de los dispositivos sin ningún tipo de notificación o permiso.

El hecho de que los navegadores móviles ofrezcan a los desarrolladores acceso a los sensores no es una anomalía en sí; esto ayuda a esos servicios a ajustar automáticamente parámetros como la disposición de la pantalla cuando cambias la orientación del teléfono. Y, en teoría, el organismo de homologación World Wide Web Consortium ha codificado las maneras en que algunas aplicaciones web pueden acceder a los datos de algunos sensores. Sin embargo, lo que los investigadores de las universidades de Carolina del Norte, Princeton, Illinois y Northwestern en EEUU han desvelado es que dichos estándares permiten el acceso sin restricciones ni avisos a otros sensores.

Los autores del trabajo han descubierto que de los 100.000 sitios más importantes -según la clasificación de la web de análisis Alexa, propiedad de Amazon- 3.695 incorporan scripts que se aprovechan del acceso a uno o más de estos sensores móviles. De acuerdo con los especialistas, los sensores de movimiento, iluminación y proximidad o luz no disponen de ningún mecanismo para notificar al usuario que se están utilizando, entre otras razones porque no hay un sistema de permisos específicos implementado.

La lista contiene algunos populares sitios web, como Kayak, Priceline.com y Wayfair.

Riesgos de seguridad

El acceso no aprobado a los datos de estos sensores no debe, en principio, comprometer la identidad o el dispositivo del usuario. Además una página web sólo puede ver estos sensores mientras el usuario esté navegando activamente por ella, nunca en segundo plano. Por eso el World Wide Web Consortium clasifica los datos de estos sensores como “no suficientemente sensibles como para justificar la concesión de permisos específicos”. No obstante los investigadores hacen notar que en un sitio web malicioso, esta información podría alimentar varios tipos de ataques, como el uso de datos de luz ambiental para tener información de los hábitos de navegación de un usuario, o el uso de datos del sensor de movimiento como una especie de registrador de teclas para deducir cuestiones como los números PIN o las contraseñas.

En este caso se analizaron nueve navegadores (Chrome, Edge, Safari, Firefox, Brave, Focus, Dolphin, Opera Mini y UC Browser) que manejan el acceso los citados sensores. Todos ellos permiten que las páginas web accedan a los sensores de movimiento y orientación sin permiso. Además, en el caso de Firefox también se permitía el acceso a los sensores de proximidad y de luz en versiones recientes; aunque el navegador eliminó este acceso predeterminado a partir de la versión 60 en mayo de este año.

Los bloqueadores, sin efecto

Los investigadores también han revelado que los populares bloqueadores o filtros de publicidad que testaron no detenían de manera fiable los scripts, detectándolos en menos de un 10% de los casos. De hecho, en la mayoría de casos sólo lo lograban entre un 2% y un 3% de las veces. Por otro lado, al clasificar los scripts de los sensores por su objetivo descubrieron que algunos tenían usos benignos, como orientar y redimensionar páginas o reaccionar a los gestos, otros estaban relacionados con generadores de números aleatorios y una tercera categoría -cerca de 1200 webs- parecían estar usando datos de sensores en temas de seguimiento y la recopilación de datos para análisis o reconocimiento de audiencias.

Los autores observan además que en muchos casos no se pudo determinar el objetivo del acceso a los sensores, lo que significa que puede haber más usos potencialmente invasivos para este tipo de datos.

Download Panda Mobile Security