Princípios importantes
- Um pesquisador criou um site que gera uma impressão digital exclusiva com base nas extensões de navegador instaladas.
- A impressão digital pode ser usada para rastrear os usuários na web, afirma o pesquisador.
- Especialistas em segurança sugerem remover todas as extensões desnecessárias para evitar se destacar.
As extensões em seu navegador da web podem ser usadas para identificá-lo exclusivamente na web.
Para dar às pessoas a chance de experimentar isso, um pesquisador de segurança criou um site que analisa as extensões instaladas do Google Chrome para gerar uma impressão digital, que, segundo ele, pode ser usada para rastreá-las online.
"Sempre que houver algo semi-único em um computador, ele pode ser usado para obter uma impressão digital", disse Erich Kron, defensor da conscientização de segurança da KnowBe4, à Lifewire por e-mail. "O quão única é essa impressão digital pode depender do que está sendo medido ou testado."
Impressão digital do navegador
O pesquisador, que usa o pseudônimo z0ccc, explicou que a impressão digital do navegador é um método poderoso que muitos sites usam para coletar todos os tipos de detalhes sobre os visitantes, incluindo o tipo e a versão do navegador, seu sistema operacional, plugins ativos, tempo zona, idioma, resolução de tela e várias outras configurações ativas.
Ele argumentou que, embora esses pontos de dados possam não ser muito úteis sozinhos, quando combinados, eles podem ajudar a identificar exclusivamente uma pessoa específica, já que há uma chance muito pequena de várias pessoas terem o mesmo conjunto de pontos de dados.
Nossos regulamentos de privacidade têm muito o que acompanhar.
"Os sites usam as informações que os navegadores fornecem para identificar usuários únicos e rastrear seu comportamento online", explicou z0ccc. "Este processo é, portanto, chamado de 'impressão digital do navegador'."
Com base na combinação de extensões instaladas, o site gera um hash de rastreamento que pode ser usado para rastrear esse navegador específico na web.
O pesquisador explicou que seu teste de impressão digital de extensões depende de certas propriedades de extensão do navegador, que ele disse estarem presentes em mais de 1100 extensões, incluindo as populares como AdBlock, uBlocker, LastPass, Adobe Acrobat, Google Docs Offline, Grammarly, e muito mais.
Ele admitiu que algumas extensões tomam medidas para evitar a detecção. No entanto, ele encontrou um truque para usar o comportamento deles para determinar se alguma dessas extensões protegidas estava instalada.
Em uma entrevista, z0ccc afirmou que, embora não esteja coletando nenhum dado sobre as extensões instaladas de pessoas que usam seu site, seus testes mostraram que ter mais de 3 extensões criará uma impressão digital única.
Em essência, as pessoas sem extensões instaladas terão a mesma impressão digital, tornando-as menos exclusivas e difíceis de rastrear. Por outro lado, aqueles com muitas extensões terão uma impressão digital menos comum, tornando-os mais propensos ao rastreamento.
As luvas estão fora
Em uma discussão por e-mail com a Lifewire, Harman Singh, diretor do provedor de serviços de segurança cibernética Cyphere, disse que a impressão digital do navegador é uma técnica bem conhecida usada por sites de publicidade e marketing on-line em todo o mundo.
A coleta de dados é parte integrante do ecossistema de publicidade online, explicou Singh, e esse tipo de impressão digital do navegador é apenas outro mecanismo para ajudá-los a veicular anúncios direcionados.
Além disso, ele acrescentou que mesmo instituições financeiras como bancos usam esses métodos de impressão digital do navegador como parte de seus mecanismos de detecção de fraude para detectar se o visitante é um usuário genuíno ou uma anomalia maliciosa como um bot.
A impressão digital do navegador não é ilegal, pois não identifica um usuário. No entanto, a coleta de dados é regida por leis de privacidade, como o Regulamento Geral de Proteção de Dados (GDPR) e a Lei de Privacidade do Consumidor da Califórnia (CCPA), acrescentou Singh.
Falando especificamente sobre o teste Extension Fingerprints do z0ccc, Kron explicou que, embora seja interessante do ponto de vista acadêmico, parece limitado em sua utilidade em sua forma atual.
"Além disso, em meus testes limitados, isso não pegou extensões comuns no navegador Edge, retornando o mesmo hash para o Chrome no modo de navegação anônima, como fez [no] Edge com a extensão LastPass instalada, " disse Kron. "Houve outros métodos de impressão digital que usam hardware, cálculos feitos pela placa gráfica instalada, por exemplo, que podem ser um pouco mais difíceis de contornar."
Para nos ajudar a sugerir maneiras para as pessoas ajudarem a contornar essa impressão digital do navegador, Singh disse que um bom lugar para começar é a ferramenta Panopticlick, que fornece informações sobre quanto e que tipo de informação seu navegador está revelando aos sites.
Por outro lado, Kron acredita que é sempre uma boa prática remover ou desabilitar extensões de navegador não utilizadas.
"Para usuários da Internet, não é possível ter proteção completa contra tais técnicas de rastreamento, a menos que seja ditado por lei", opinou Singh. "Nossos regulamentos de privacidade têm muito o que acompanhar."
