Un grupo de investigadores encontró que una función poco conocida del estándar HTML5 diseñada para permitir a las páginas consultar el estado actual de la batería de un teléfono o portátil, puede ser utilizada para identificar un dispositivo en cualquier momento.
Todo navegador que a la fecha sea compatible con las especificaciones del estándar W3C (por nombrar algunos: Chrome, Firefox y Opera), puede en realidad estar expuesto a un fallo de privacidad descubierto en el API de consulta del estatus de la batería.
Originalmente este API se introdujo en el estándar como una manera de permitir a las páginas web consultar el estatus de la batería e informar al usuario que le quedaba poca carga para deshabilitar servicios. En el estándar W3C, se considera que permitir el acceso a esta información tiene mínimo impacto en la privacidad de las personas, por lo cual no se le exigen permisos a las páginas para realizar esta verificación de estatus.
Sin embargo un equipo de investigadores franceses de seguridad público un artículo en el que demuestran que en efecto este acceso libre a consultar el estado de la batería, es una puerta abierta a un gran hueco en la privacidad de las personas. La información sobre el estatus de la batería es tan detallada que se puede usar como un ID temporal de la máquina. Por ejemplo el API entrega los segundos estimados que quedan de carga y el porcentaje de carga restante. Estos valores combinados tienen hasta 14 millones de combinaciones posibles, lo que se puede usar para identificar una maquina sin importar si la misma navega o no de forma privada o por medio de una VPN.
Los investigadores advierten, que las páginas que logren explotar este hueco de seguridad, por ejemplo podrían identificar a un usuario que revisita un mismo sitio con otra identidad o desde una sesión incógnito dándose cuenta de que se trata del mismo visitante.
Por suerte, según los investigadores, esta falla podría corregirse muy fácilmente limitando la cantidad de información que el API entrega sobre el estatus de la batería a los sitios, o simplemente exigiendo autorización de parte de los usuarios, para que los sitios puedan hacer esta clase de chequeo de estatus de batería.