El investigador de seguridad Lukasz Olejnik ha afirmado que es posible recopilar datos sensibles con los sensores de luz ambiental instalados en muchos teléfonos inteligentes y portátiles.
Los sensores están ahí para que los dispositivos puedan cambiar automáticamente el brillo de las pantallas en el panel de configuración, pero Olejnik ha demostrado que estos sensores también pueden implicar un riesgo de seguridad si tal y como se debate en el World Wide Web Consortium (W3C) “se permite que los sitios web accedan al sensor de luz sin requerir el permiso del usuario”, lo que daría a las páginas web el mismo acceso al hardware que las aplicaciones nativas.
Si las páginas web pueden hacerlo, los sensores se podrían utilizar para detectar variaciones de brillo en la pantalla de un dispositivo y podrían “leer” un código QR presentado dentro de una página web. Teniendo en cuenta que los códigos QR a veces se publican como una herramienta de autenticación para tareas como el cambio de contraseña, esto supone una preocupación.
Muchos sitios cambian el color de los enlaces una vez que el usuario los ha visitado. Olejnik utilizó el sensor de luz ambiental para detectar ese cambio e inferir el historial de navegación de un usuario.
El investigador ha propuesto una solución simple. Calcula que si la API limita la frecuencia de las lecturas de los sensores y cuantifica su producción, los sensores podían hacer su trabajo de iluminar a los usuarios pero perderían la precisión necesaria para vulnerar la privacidad y seguridad.
Esta no es la primera vez que se muestra una que API permite invasiones de privacidad y riesgos de seguridad. Apple, Mozilla y Google Chrome también han localizado y desactivado APIs que han provocado fallos de seguridad (por ejemplo, en el caso de Chrome relacionados con Bluetooth).
Este Digital Sales Center se ubica en Barcelona y se une a los que ya…
Han firmado un Convenio Inserta que contempla la ejecución de programas de prácticas e iniciativas…
Esta renovación del equipo directivo busca expandir la presencia de la compañía y acelerar la…
Desde el phishing hasta los ataques potenciados por inteligencia artificial, son varios los frentes que…
La alianza entre Check Point Software y Variscite ayudará a a los desarrolladores a asegurar…
Este 'spin-off' de CIONET Spain quiere convertirse en punto de encuentro para los profesionales de…