Você sabia que o gerenciador de bateria do seu dispositivo poderia estregar informações pessoais a hackers através do rastreamento de sua atividade na Internet? De acordo com pesquisadores franceses e belgas, que afirmam ter descoberto uma falha de segurança que permite que navegadores da web sigam um usuário de internet, mesmo se eles estão tentando mascarar sua identidade, pode ser realmente possível.

A falha reside na API do status da bateria - um conjunto de protocolos - para HTML5, a versão atual da linguagem da web. A API fornece a um navegador da web, como o Google Chrome ou Firefox, informações sobre a vida útil da bateria de um smartphone, tablet ou notebook, o que lhe permite ativar modos de economia de energia quando a capacidade está acabando.

Os usuários não podem optar por sair da API do estado da bateria de acordo com World Wide Web Consortium (W3C), que define padrões da Internet, que não havia sinalizado como um risco de segurança em conjunto com protocolo HTML5. "A informação divulgada tem um impacto mínimo sobre a privacidade ou impressões digitais, e, portanto, é exposto sem permissão concedida pelo usuário", disse W3C em 2012.

Este não é o caso de acordo com os pesquisadores, que afirmam que os dados podem, em teoria, serem precisos o suficiente para identificar um usuário. A API do estado da bateria trabalha fornecendo dados ao navegador com um indicador 0-1 chamado "nível", bem como o número esperado de segundos que seria necessário para carregar totalmente e descarregar completamente a bateria.

Os pesquisadores, que testaram o navegador Firefox no sistema operacional Linux, descobriram que poderia haver pelo menos 14,2 milhões de combinações diferentes de dados, que foi suficiente para usuários de internet serem identificados por seu estado da bateria. O estado muda apenas a cada 30 segundos, o que significa que por um curto tempo, a identificação pode atuar como um "identificador estático".

A maioria dos usuários de internet deixa muito mais evidente as impressões digitais ao navegar na web, como o seu endereço IP e cookies, mas as pessoas que evitam esta solução, acabam utilizando ferramentas de máscara, mas a navegação privada ainda pode ser seguida usando seus dados da bateria, disseram os pesquisadores.

Um script pode usar a API de status da bateria para rastrear um usuário de internet que cancelou seus dados de navegação, e, em seguida, restabelecer identificadores, tais como cookies, sem o conhecimento do usuário, um processo conhecido como respawning. Isso lhe permitiria manter o rastreamento do usuário sem o seu conhecimento.

Mas calma, não precisa entrar em pânico. Os pesquisadores informam que é preciso ter um conhecimento muito avançado e analisar o tempo exato em que essa brecha será revelada pela API da bateria. Se já é difícil explorar essa vulnerabilidade em um PC com Linux, em smartphones com Android ou iOS é ainda mais complicado. Claro, só o fato de a falha existir já chega a ser algo preocupante, sem falar que as desenvolvedoras não estão trabalhando em uma solução neste momento.