[Conhecimento de Segurança] Super cookies podem quebrar o modo de privacidade e ainda rastrear informações do usuário

Atualmente, todos os principais navegadores oferecem um modo de proteção de privacidade. Nesse modo, os cookies do site não conseguem rastrear a identidade do usuário. Por exemplo, o Google Chrome oferece um recurso chamado "Incógnito", enquanto o Firefox oferece um recurso chamado "Janela de Privacidade".

No entanto, essa vulnerabilidade recém-descoberta fará com que o modo de privacidade do navegador falhe. Por exemplo, quando um usuário usa um navegador normal, faz compras no Amazon.com ou navega no Facebook, ele pode abrir uma janela de privacidade para navegar em um blog com conteúdo controverso. Se o blog usa a mesma rede de anúncios da Amazon ou integra o botão "Curtir" do Facebook, então anunciantes e Facebook podem saber que os usuários estão visitando o blog polêmico ao mesmo tempo que Amazon e Facebook.

Existe uma solução temporária para essa vulnerabilidade, mas é complicada: os usuários podem deletar todos os cookies antes de ativar o modo de privacidade ou usar um navegador dedicado para navegar completamente no modo de privacidade.

Ironicamente, essa vulnerabilidade é causada por um recurso projetado para aprimorar a proteção da privacidade.

Se um usuário usar um prefixo https:// na barra de endereços do navegador para criptografar comunicações de certos sites, alguns navegadores vão se lembrar disso. O navegador salva um "super cookie" para garantir que, na próxima vez que o usuário se conectar ao site, o navegador entre automaticamente no canal https. Essa memória persistirá mesmo que o usuário tenha ativado o modo de privacidade.

Ao mesmo tempo, esses super cookies também permitem que programas web de terceiros, como anúncios e botões de redes sociais, lembrem do usuário.

Sam Greenhelgh, o pesquisador independente que descobriu a vulnerabilidade, disse em um post no blog que esse recurso ainda não é usado por nenhuma empresa. No entanto, depois que esse método foi tornado público, não havia como impedir que as empresas o fizessem.

Eugene Kuznetsov, cofundador da empresa de software de privacidade online Abine, acredita que esse "super cookie" se tornará a próxima geração de ferramentas de rastreamento. Essa ferramenta nasceu dos cookies, mas ficou mais sofisticada. Atualmente, os usuários sempre possuem um identificador de dispositivo único e uma impressão digital única do navegador durante a navegação, que são difíceis de apagar.

O anonimato na internet tornou-se mais difícil devido à existência dos "super cookies". Kuznetsov disse: "Vimos uma corrida armamentista sobre proteção à privacidade. O desejo de rastrear usuários da Internet é como um parasita. Qualquer coisa no seu navegador está sendo examinada por sites e anunciantes, permitindo mais rastreamento. ”

A Mozilla já corrigiu isso na versão mais recente do Firefox, enquanto o Google tende a deixar o Chrome como está. O Google já sabe qual é o problema dos "super cookies", mas ainda assim opta por continuar ativando o recurso de memória https do Chrome. Entre segurança e proteção de privacidade, o Google escolheu a primeira.

O Microsoft Internet Explorer não tem esse problema, pois este navegador não possui uma função de memória https embutida.

Greenhal também disse que, em dispositivos iOS, o problema causado pelos "super cookies" também existe.