El móvil nos traiciona: Cómo nos espían cuando navegamos por Internet
Los navegadores web de un móvil, la mejor forma de espiar a alguien a través de los sensores.
Al instalar una aplicación, si esta necesita acceder a los sensores del móvil, los permisos de la app lo especificarán. Esto es algo que vemos por ejemplo en las apps de Fitness, que usan elementos como el GPS o los giróscopos. Por tanto si no le damos permiso, no pueden acceder a ello. Pero lo que un equipo de investigadores ha descubierto es que eso no sucede con los navegadores móviles, que brindan permiso a través de ellos a las webs que visitamos para que estas accedan a los sensores.
El móvil nos traiciona
Que un navegador web para móviles pueda acceder a estos sensores es lo que por ejemplo permite cosas como que la web se muestre en modo paisaje cuando giramos el teléfono. Y el World Wide Web Consortium tiene codificado en su estándar la forma en que una aplicación web puede acceder a los datos de un sensor de móvil. Pero lo que los investigadores de cuatro universidades americanas han descubierto es que estas reglas no se aplican a browsers móviles como Chrome, Edge, Safari, Firefox, Brave, Focus, Dolphine, Opera Mini y UC Browser. Todos ellos permiten a las webs que visitas a través de ellos acceder a los sensores de movimiento, orientación, proximidad y luz de tu móvil.
El problema añadido es que los investigadores han descubierto que de los 100.000 websites más visitados en la Red, 3.695 de ellos implementan scripts que les brindan acceso a uno o varios sensores de un móvil. Según uno de los investigadores, Nikita Borisov, “si usas Google Maps en un navegador móvil verás un aviso Pop-up que dice ‘esta web quiere ver tu localización’, y es algo que puedes autorizar. Pero con los sensores de movimiento, luz y proximidad no hay notificación alguna de pedir permiso al usuario […] no hay una infraestructura de permisos“.
Solo hace falta la web adecuada para entrar
Un acceso no autorizado a estos sensores solo puede producirse cuando el usuario está navegando a través de los browsers, nunca puede hacerse cuando el navegador está sin usar y en segundo plano, por lo tanto no parecería tan arriesgado. Pero basta una web llena de código malicioso para lanzar distintos tipos de ataques al terminal aprovechando que los browsers le están ‘abriendo la puerta’ a los sensores del teléfono. ¿Cómo? Pues usando el sensor de iluminación para ver qué webs visita un usuario, o los datos del sensor de movimiento como si fuera un ‘keylogger’ y descifrar cosas como el PIN del teléfono y otras contraseñas.
Lo malo es que el mismo World Wide Web Consortium tiene clasificados estos accesos a los sensores como algo “no lo suficientemente sensible como para conceder una autorización de permiso específico para el sensor”, aunque estos investigadores han demostrado que en efecto es una vulnerabilidad. Sólo el navegador Firefox es el único que ha hecho algo, desactivando por defecto el acceso al sensor de luz y de proximidad desde su actualización Firefox 60 del pasado mayo.