Pesquisadores desenvolvem técnica que rastreia usuário na web com ‘ícone de site’ invisível | Blog do Altieres Rohr


Pesquisadores da Universidade de Chicago descobriram que é possível tirar proveito do tratamento especial dado pelos navegadores web aos chamados “ícones de sites” para deixar uma marca no computador do visitante e, com isso, identificar o usuário em acessos futuros.

O objetivo dos especialistas foi demonstrar uma fragilidade nos navegadores que, se utilizada de forma maliciosa, poderia burlar o funcionamento esperado de vários controles e recursos de privacidade – inclusive da “navegação anônima”. A pesquisa foi conduzida por Konstantinos Solomos, John Kristoff, Chris Kanich e Jason Polakis.

Ícones de abas exibidos em janela de navegação anônima do Chrome. Utilizando método para descobrir quais ícones um navegador já baixou, é possível armazenar informações e identificar um usuário. — Foto: Reprodução

A função de identificar usuários é normalmente desempenhada pelos chamados “cookies”. Diversos serviços e agências de publicidade (como o Google e o Facebook) solicitam que os navegadores guardem cookies com números de identificação aleatórios e únicos.

Depois de gerados e armazenados pelo navegador, os cookies são enviados de volta somente ao seu site de origem – na prática, o próprio navegador revela que é o mesmo de um acesso anterior e, normalmente, isso não gera nenhum problema de privacidade, já que apenas o site de origem recebe esse dado.

Contudo, as agências de publicidade atuam em vários sites diferentes, criando um compartilhamento indireto de dados que, na prática, permite registrar todas as visitas de um mesmo usuário em sites parceiros e delinear um histórico de navegação.

Mas cookies podem ser bloqueados ou apagados, o que impede ou, no mínimo, zera o perfil observado periodicamente.

Já o modo de navegação privada ou anônima também não envia os cookies armazenados, o que quebra a associação existente. É por isso, por exemplo, que um site ou serviço volta a exigir login quando acessado pela navegação anônima.

O que são
O que são

2 min O que são ‘cookies’ na web e quais riscos eles representam?

O que são ‘cookies’ na web e quais riscos eles representam?

Entenda também por que você recebe notificações sobre o uso de cookies.

Mas há uma informação que ainda está disponível, inclusive no modo anônimo de vários navegadores: os “ícones de site”.

Esses são os gráficos exibidos ao lado de uma aba de navegador para identificar o site aberto. Eles também têm o nome de “favicons“, pois já eram usados na lista de sites favoritos ainda antes de os navegadores adotarem as abas.

Manipulando os ícones baixados por um navegador e conferindo quais desses ícones já foram baixados anteriormente, é possível identificar um visitante específico.

Como o rastreamento por ícones funciona

Para que esses ícones possam identificar um internauta, uma página especial de rastreamento precisa utilizar vários ícones em série. Em um exemplo simples, uma página de rastreamento com 2 ícones poderia registrar que um usuário “A” recebeu o ícone 1, enquanto o usuário “B” recebeu o ícone 2.

O download dos ícones ocorre em segundo plano e, portanto, o processo é completamente invisível para o usuário.

Futuramente, essa mesma página de rastreamento (que precisa ser acessada indiretamente após a visita a um site parceiro) iniciaria o processo de identificação orientando que o navegador tente baixar os dois ícones novamente.

Se um navegador acessar apenas o ícone 2, significa que ele já tinha ícone 1 – trata-se, portanto, do usuário “A”. Se o navegador tentar apenas baixar ícone 1, é porque ele já tinha o ícone 2 e trata-se do usuário “B”.

Esse comportamento ocorre por conta do “cache” – a memória do navegador que acelera a visita aos sites. Como os ícones mudam pouco, mantê-los armazenados poupa tempo e recursos em visitas futuras.

Uma página de rastreamento é capaz de controlar quais ícones o navegador vai baixar e também de enxergar quais ícones o navegador tenta baixar. Combinando essas informações, tem-se a identificação do navegador.

Para identificar muitos usuários, a página de rastreamento precisaria de vários ícones. O programador alemão Jonas Strehle criou um site chamado Supercookie que utiliza 15 ícones em série para criar identificadores com combinações desses ícones. Tecnicamente, cada ícone representa um bit (0 para um ícone que não foi baixado e 1 para um ícone baixado).

Apesar de interessante, o processo é relativamente lento – o que poderia dificultar o rastreamento em visitas curtas.

Mesmo assim, trata-se de uma nova abordagem para o que especialistas chamam de “fingerprinting”: o uso características técnicas de um dispositivo para identificá-lo mesmo sem o uso de cookies.

Os navegadores web têm travado uma guerra silenciosa contra o “fingerprinting”, modificando seu funcionamento de forma sutil com o intuito de impedir que essas técnicas obtenham resultados úteis, mas sem prejudicar o uso de recursos técnicos de forma legítima.

No caso dos ícones, é bastante provável que os navegadores modifiquem a forma como baixam esses gráficos, impedindo assim a manipulação necessária do “cache”. Na pior das hipóteses, janelas anônimas podem vir a perder o ícone nas abas ou qualquer otimização no download desses gráficos.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

Download seguro: saiba como baixar programas legítimos
Download seguro: saiba como baixar programas legítimos

2 min Download seguro: saiba como baixar programas legítimos

Download seguro: saiba como baixar programas legítimos

Baixar programas e aplicativos falsos pode causar problemas e deixar seu computador ou smartphone vulnerável a hackers.

Veja dicas para se manter seguro on-line:



Fonte: G1