Los sensores de luz ambiente de los dispositivos pueden robar datos de navegación

El investigador de seguridad Lukasz Olejnik ha afirmado que es posible recopilar datos sensibles con los sensores de luz ambiental instalados en muchos teléfonos inteligentes y portátiles.

Los sensores están ahí para que los dispositivos puedan cambiar automáticamente el brillo de las pantallas en el panel de configuración, pero Olejnik ha demostrado que estos sensores también pueden implicar un riesgo de seguridad si tal y como se debate en el World Wide Web Consortium (W3C) “se permite que los sitios web accedan al sensor de luz sin requerir el permiso del usuario”, lo que daría a las páginas web el mismo acceso al hardware que las aplicaciones nativas.

Si las páginas web pueden hacerlo, los sensores se podrían utilizar para detectar variaciones de brillo en la pantalla de un dispositivo y podrían “leer” un código QR presentado dentro de una página web. Teniendo en cuenta que los códigos QR a veces se publican como una herramienta de autenticación para tareas como el cambio de contraseña, esto supone una preocupación.

Muchos sitios cambian el color de los enlaces una vez que el usuario los ha visitado. Olejnik utilizó el sensor de luz ambiental para detectar ese cambio e inferir el historial de navegación de un usuario.

El investigador ha propuesto una solución simple. Calcula que si la API limita la frecuencia de las lecturas de los sensores y cuantifica su producción, los sensores podían hacer su trabajo de iluminar a los usuarios pero perderían la precisión necesaria para vulnerar la privacidad y seguridad.

Esta no es la primera vez que se muestra una que API permite invasiones de privacidad y riesgos de seguridad. Apple, Mozilla y Google Chrome también han localizado y desactivado APIs que han provocado fallos de seguridad (por ejemplo, en el caso de Chrome relacionados con Bluetooth).