El investigador de seguridad Lukasz Olejnik ha afirmado que es posible recopilar datos sensibles con los sensores de luz ambiental instalados en muchos teléfonos inteligentes y portátiles.
Los sensores están ahí para que los dispositivos puedan cambiar automáticamente el brillo de las pantallas en el panel de configuración, pero Olejnik ha demostrado que estos sensores también pueden implicar un riesgo de seguridad si tal y como se debate en el World Wide Web Consortium (W3C) “se permite que los sitios web accedan al sensor de luz sin requerir el permiso del usuario”, lo que daría a las páginas web el mismo acceso al hardware que las aplicaciones nativas.
Si las páginas web pueden hacerlo, los sensores se podrían utilizar para detectar variaciones de brillo en la pantalla de un dispositivo y podrían “leer” un código QR presentado dentro de una página web. Teniendo en cuenta que los códigos QR a veces se publican como una herramienta de autenticación para tareas como el cambio de contraseña, esto supone una preocupación.
Muchos sitios cambian el color de los enlaces una vez que el usuario los ha visitado. Olejnik utilizó el sensor de luz ambiental para detectar ese cambio e inferir el historial de navegación de un usuario.
El investigador ha propuesto una solución simple. Calcula que si la API limita la frecuencia de las lecturas de los sensores y cuantifica su producción, los sensores podían hacer su trabajo de iluminar a los usuarios pero perderían la precisión necesaria para vulnerar la privacidad y seguridad.
Esta no es la primera vez que se muestra una que API permite invasiones de privacidad y riesgos de seguridad. Apple, Mozilla y Google Chrome también han localizado y desactivado APIs que han provocado fallos de seguridad (por ejemplo, en el caso de Chrome relacionados con Bluetooth).
Deloitte creará Centros de Excelencia de AWS en distintas partes del mundo, incluyendo el África…
Introduce mejoras en Cortex XSIAM y ofrece capacidades de detección y respuesta de forma nativa…
DE-CIX Frankfurt superó la barrera de los 17 terabits por segundo el 16 de abril.
Un tercio de estas líneas pertenece a Movistar que, junto a Orange y Grupo MASMOVIL,…
Ubicado en Sophia Antipolis, en Francia, ofrecerá a una experiencia inmersiva para experimentar con la…
Salesforce integra la IA de Slack para todos sus clientes de pago e incorpora boletines…