Nueva actualización de Google Chrome tiene una peligrosa función de detección de inactividad que rastreará detalladamente el uso del sistema
A pesar de la inconformidad de compañías como Apple y Mozilla, los equipos de seguridad de Google lanzaron la actualización Chrome 94 para dispositivos Android y equipos de escritorio, que incluye una API de detección de inactividad. La actualización de Chrome incluye otras funciones descritas en las plataformas oficiales de Google.
Esta función, conocida como IdleDetection ha generado polémica debido a que está diseñada para aplicaciones multiusuario, como plataformas de videollamada, chat y gaming online. La función notificará a la aplicación web cuando un usuario está inactivo, utilizando señales como inactividad del mouse y el teclado, bloqueo de la pantalla o el cambio de usuario en la ejecución de una aplicación.
La función se considera intrusiva debido a que los eventos detectados por IdleDetection ocurren fuera del navegador, aunque Google defendió la medida: “Esta clase de aplicaciones requieren señales globales sobre la actividad del usuario, más de las que proporcionan los mecanismos existentes”, señala el informe sobre el lanzamiento. Desarrolladores de Slack y Google Chat y otros también se mostraron a favor de la implementación de la API.
Como se menciona al inicio, Mozilla estaba en contra de la implementación de la API: “Consideramos que Idle Detection es una oportunidad demasiado tentadora para que los sitios web con motivaciones financieras recolecten información de forma masiva, manteniendo registros detallados de las actividades en línea de los usuarios”, señala Tantek Çelik, líder de estándares web de Mozilla.
Por otra parte, Ryosuke Niwa de Apple mencionó: “Nuestras preocupaciones no se limitan al registro de información. En términos de privacidad, la API permite que un sitio web observe si una persona está cerca del dispositivo o no. Esto podría usarse, por ejemplo, para minar criptomoneda cuando el usuario no está cerca o comienza a implementar vulnerabilidades de seguridad, entre otros escenarios maliciosos”.
La postura de estas compañías estaba clara, aunque Google implementó la API de todas formas después de un par de semanas de pruebas en Chrome. Cabe aclarar que esta función está sujeta al permiso del usuario, que se puede encontrar en la configuración de Chrome 94. Los usuarios pueden especificar si los sitios pueden o no recolectar esta información de actividad, aunque los expertos temen que esto no sea suficiente para mitigar los riesgos de seguridad.
