El m��vil nos traiciona: C��mo nos esp��an cuando navegamos por Internet

Los navegadores web de un m��vil, la mejor forma de espiar a alguien a trav��s de los sensores.

Actualizado a 27 de septiembre de 2018 13:20 CEST

Al instalar una aplicaci��n, si esta necesita acceder a los sensores del m��vil, los permisos de la app lo especificar��n. Esto es algo que vemos por ejemplo en las apps de Fitness, que usan elementos como el GPS o los gir��scopos. Por tanto si no le damos permiso, no pueden acceder a ello. Pero lo que un equipo de investigadores ha descubierto es que eso no sucede con los navegadores m��viles, que brindan permiso a trav��s de ellos a las webs que visitamos para que estas accedan a los sensores.

El m��vil nos traiciona

Que un navegador web para m��viles pueda acceder a estos sensores es lo que por ejemplo permite cosas como que la web se muestre en modo paisaje cuando giramos el tel��fono. Y el World Wide Web Consortium tiene codificado en su est��ndar la forma en que una aplicaci��n web puede acceder a los datos de un sensor de m��vil. Pero lo que los investigadores de cuatro universidades americanas han descubierto es que estas reglas no se aplican a browsers m��viles como Chrome, Edge, Safari, Firefox, Brave, Focus, Dolphine, Opera Mini y UC Browser. Todos ellos permiten a las webs que visitas a trav��s de ellos acceder a los sensores de movimiento, orientaci��n, proximidad y luz de tu m��vil.

El problema a?adido es que los investigadores han descubierto que de los 100.000 websites m��s visitados en la Red, 3.695 de ellos implementan scripts que les brindan acceso a uno o varios sensores de un m��vil. Seg��n uno de los investigadores, Nikita Borisov, ��si usas Google Maps en un navegador m��vil ver��s un aviso Pop-up que dice ��esta web quiere ver tu localizaci��n��, y es algo que puedes autorizar. Pero con los sensores de movimiento, luz y proximidad no hay notificaci��n alguna de pedir permiso al usuario [��] no hay una infraestructura de permisos��.

Google Chrome móvil no pide permisos para acceder a los sensores del terminal

Solo hace falta la web adecuada para entrar

Un acceso no autorizado a estos sensores solo puede producirse cuando el usuario est�� navegando a trav��s de los browsers, nunca puede hacerse cuando el navegador est�� sin usar y en segundo plano, por lo tanto no parecer��a tan arriesgado. Pero basta una web llena de c��digo malicioso para lanzar distintos tipos de ataques al terminal aprovechando que los browsers le est��n ��abriendo la puerta�� a los sensores del tel��fono. ?C��mo? Pues usando el sensor de iluminaci��n para ver qu�� webs visita un usuario, o los datos del sensor de movimiento como si fuera un ��keylogger�� y descifrar cosas como el PIN del tel��fono y otras contrase?as.

Lo malo es que el mismo World Wide Web Consortium tiene clasificados estos accesos a los sensores como algo ��no lo suficientemente sensible como para conceder una autorizaci��n de permiso espec��fico para el sensor��, aunque estos investigadores han demostrado que en efecto es una vulnerabilidad. S��lo el navegador Firefox es el ��nico que ha hecho algo, desactivando por defecto el acceso al sensor de luz y de proximidad desde su actualizaci��n Firefox 60 del pasado mayo.