Più sono grandi, più sono capienti, più riescono a spiarci. Altro che fedele compagna nelle lunghe serate estive; la batteria dello smartphone si rivela, anche se inconsapevolmente, come un ottimo strumento per tenere traccia dei movimenti degli utenti. Ad affermarlo è uno studio di ricercatori francesi e belgi che dimostra come le persone dovrebbero conoscere più a fondo le potenzialità di monitoraggio nascoste nei loro telefonini.

Questa volta la colpa sarebbe dell’HTML5, ovvero di quel linguaggio del web che permette di costruire siti dinamici e ottimizzati per diversi dispositivi, tra cui proprio gli smartphone. Nel 2012 il World Wide Web Consortium ha adottato le API per lo stato di batteria, meglio conosciute come Battery Status API, una serie di strumenti che gli sviluppatori di siti web possono adottare per minimizzare l’utilizzo di batteria da parte dei cellulari che visitano i loro portali.

Preservare la batteria

Funziona così: Giorgio va con il proprio iPhone che ha il 20% di batteria residua su un certo sito e visualizza immagini, forme, icone e gli altri oggetti in un certo modo; poi Mario fa lo stesso ma con un iPhone (o un qualsiasi altro cellulare) che ha il 90% di autonomia residua; a lui il sito mostrerà foto con risoluzione maggiore, effetti di luce, ombre e tanti altri elementi preclusi (o ridotti) sul primo iPhone. In questo modo browser come Chrome, Firefox e Opera possono adottare una modalità di risparmio energetico quando si accorgono che il dispositivo che li visita ha poca batteria; comodo se non fosse che dietro c’è dell’altro.

Secondo gli esperti di sicurezza, le Battery Status API possono raccogliere una serie di informazioni utili ad identificare meglio un utente. Quando si visita un portale in HTML 5 il browser invia ogni 30 secondi una certa quantità di dati che comprendono il tempo di autonomia residua (compreso di secondi) e la percentuale di batteria rimanente. “In un intervallo di pochi secondi, le API possono essere utilizzate per tracciare e scoprire cosa fanno gli utenti in rete" - si legge nel report.

Difendersi con Tor

Si tratta di un pesante difetto di sicurezza che permette di creare un’impronta univoca dei navigatori: ogni volta che si visita un certo sito, le API riconoscono che si tratta di un utente “affezionato” e creano una sorta di archivio con le analisi del consumo energetico avuto prima, durante e dopo l’ingresso. Non è ben chiaro se, come i browser con i cookie, anche gli sviluppatori possano sapere quali siti una persona abbia navigato durante una sessione che comprende anche una capatina sul loro portale ma è evidente che anche un solo dubbio metta a rischio la privacy di milioni di persone. Come proteggersi? Per ora non è possibile tranne quando si usa Tor su PC e Mac, l’unico metodo per evitare che internet raccolga gli indizi lasciati dalla batteria del computer ma non di smartphone e tablet.